L’anonymat en ligne avec Tor, c’est Nos oignons !

Temps de lecture 16 min

image_pdfimage_print

Comme beaucoup d’internautes, vous êtes ces dernières années de plus en plus préoccupé par la confidentialité de vos données et de vos communications.

Vous avez renforcé et renouvelé vos mots de passe, installé des extensions qui filtrent ou bloquent les contenus indésirables, vous luttez contre le pistage des GAFAM au cours de votre navigation, vous êtes en voie de dégooglisation, mais vous n’avez peut-être pas osé aborder une étape plus délicate et technique comme celle qui consiste à chiffrer vos échanges et vos disques durs, pas osé non plus utiliser le réseau Tor. C’est bien compréhensible, vous reculez un peu devant ce qui vous semble plus complexe et vous ne savez pas exactement de quoi il retourne… On entend dire des choses tellement inquiétantes aussi !

Liste des utilisateurs potentiels du réseau Tor
Tout le monde peut trouver des avantages à utiliser Tor

Eh bien nous vous proposons aujourd’hui d’apprendre un peu mieux ce qu’est réellement ce réseau Tor, pour démystifier ce qui peut s’avérer d’un usage quotidien pour beaucoup d’entre nous.

Vous en doutez ? Pourtant emprunter les trajectoires zigzagantes de Tor est non seulement parfaitement légal mais aussi tout à fait utile et à la portée d’un vaste public.

Mais pour commencer, qu’est-ce que c’est au juste que Tor ? Comment ça marche, est-ce que c’est dangereux ? Comment peut-on l’essayer sans trop de difficultés ?

Pour répondre à ces questions, autant s’adresser directement à ceux sont sur le terrain et connaissent la question. Nous avons la chance d’avoir Nos oignons une jeune association francophone qui s’active pour multiplier les nœuds de sortie dont… STOOOOP ! Écoutons-les plutôt.

Merci à ned, syl, Chre, Cor, gagz, nicoo, Lunar, aeris et à tous ceux de l’association qui ont collectivement et gentiment répondu aux questions un peu… comment dire — enfin des questions de Goofy, quoi.

Tor c’est pour aller sur le Darknet, là où se trouvent les trafiquants de drogue et les terroristes, pourquoi vous voudriez que les internautes ordinaires y accèdent aussi ?

Utiliser Tor permet de retrouver un peu d’intimité quand on utilise Internet. Tout comme mettre une lettre dans une enveloppe, des rideaux à nos fenêtres ou son téléphone sur liste rouge, cela permet de retrouver le pouvoir de décider avec qui partager notre quotidien.
Des personnes qui veulent se livrer à des activités illégales vont bien entendu chercher à se cacher. Mais cela ne peut pas justifier d’espionner tout le monde. Tor est là pour nous aider à disposer de nos droits fondamentaux : libertés d’opinion, d’expression, d’association, de communication. Ces droits humains s’appliquent à tou·te·s, sans discrimination.

Ce qu’il faut comprendre, c’est que même si Tor était interdit, des activités illégales continueraient d’exister sur Internet sous d’autres formes et en utilisant d’autres outils. Il y a déjà sur Internet des activités illégales n’utilisant pas Tor.

Moi je veux bien essayer Tor, mais je ne veux pas d’ennuis avec la police, hein. Qu’est-ce que vous faites quand les services de police vous demandent de fournir des renseignements sur des utilisateurs considérés comme suspects ?
On leur dit la simple vérité : nous n’avons pas ces renseignements, d’une part parce que nous ne gardons pas trace de ce que les usagers font avec Tor, d’autre part parce que le réseau est conçu pour qu’il nous soit impossible de remonter à la source des communications.

C’est le moment de schématiser le fonctionnement de Tor.

Regardez d’abord comme la transmission des informations numériques est perméable à toutes sortes de gens ou institutions lorsqu’on n’utilise ni Tor ni https (le protocole sécurisé) :
tor-and-https-0
Maintenant, avec ces deux outils mis en place, observez que les diverses oreilles indiscrètes n’ont plus d’accès aux données que vous transmettez. Les trois relais Tor qui assurent ainsi votre anonymat sont d’ailleurs eux-mêmes « aveugles » à vos données. Chacun d’eux ne reçoit et transmet que des données chiffrées dont il ignore l’émetteur d’origine.
tor-and-https-3

Il paraît que la NSA a glissé ses propres nœuds Tor dans le réseau, alors il est compromis ou bien je peux avoir confiance ?
Même si c’est toujours intéressant intellectuellement d’y réfléchir, on a rarement affaire à une organisation aussi puissante que la NSA. La plupart du temps, on cherche à se protéger de publicitaires qui veulent nous bourrer le crâne, de patrons qui veulent nous empêcher de bosser tranquilles, de conjoints inquisiteurs, d’un filtre trop agressif dans une gare… Moins souvent, on veut protéger des communications confidentielles avec des médecins, des avocat·e·s, des journalistes… On est donc rarement une cible directe de la NSA. Et c’est tant mieux parce que si elle se débrouille pour pirater notre ordinateur, il sera facile de nous espionner, que nous utilisions Tor ou non.
Néanmoins, si la NSA faisait tourner des nœuds, ce ne serait pas nécessairement un problème. Le réseau Tor est conçu pour résister à la présence de nœuds sous surveillance tant qu’ils ne sont pas nombreux ou qu’ils sont surveillés par des adversaires différents. Des bénévoles font activement la chasse pour trouver des nœuds qui interfèrent avec les données échangées, ou des nœuds trop semblables qui apparaissent.

Il faut savoir qu’un adversaire comme la NSA, qui dispose de la capacité de surveiller directement les réseaux de communication, n’a nul besoin de faire tourner des relais Tor pour tenter de désanonymiser ses utilisateur·ice·s. En effet, plutôt que de s’embêter à faire tourner des relais, il suffit d’observer d’où vient et où va le trafic qui transite par les relais.
Tout serait donc perdu ? De ce qu’on en sait, bien au contraire : les documents internes que nous a transmis Edward Snowden nous ont permis de mieux comprendre l’étendue des possibilités de la NSA. La présentation interne intitulée « Tor Stinks » (Tor, ça pue), datée de 2012, explique qu’il est possible de retrouver le chemin d’une fraction des connexions traversant Tor, mais il est impossible de « désanonymiser » toutes les connexions tout le temps et il est très difficile de le faire avec une cible précise en tête.

À notre connaissance, Tor reste efficace contre la surveillance de masse, et rend bien plus compliquées les attaques ciblées.

Je me rends compte que tester Tor est à ma portée ! Un navigateur est disponible pour cela, c’est Torbrowser. Il me suffit d’aller sur le site https://www.torproject.org/projects/torbrowser.html.en et de choisir la bonne version :

Torstep0

une fois qu’elle est téléchargée et installée, je choisis mon type d’usage :

Torstep1

et me voilà prêt à naviguer en circulant de façon anonyme sur le Web.

torstep2

Bon, Tor c’est bien, mais quelles précautions faut-il que je prenne en plus selon vous, car Tor n’est pas une garantie contre tous les risques, hein ?
En effet ! Tor permet vraiment deux choses : empêcher le fournisseur d’accès Internet de surveiller les sites qu’on visite ; et empêcher que les sites apprennent où l’on se trouve malgré nous. Tor Browser contient des myriades de petites fonctionnalités pour empêcher que deux sites différents puissent apprendre qu’une même personne les visite tous les deux. Mais utiliser Tor Browser ne protégera pas forcément la connexion jusqu’au site visité, pour cela il faut veiller à ce que la connexion se fasse en HTTPS.

Tor n’est pas une poudre magique à « sécuriser » : la plupart des logiciels ont des défauts, Tor Browser est par exemple mis à jour toutes les six semaines afin de pouvoir colmater des brèches de sécurité le plus vite possible. Les connexions entre le réseau Tor et le site Internet auquel on accède peuvent être surveillées. Tor ou pas Tor, l’heure d’une connexion peut parfois permettre d’identifier une personne lorsqu’il y a peu de suspects.
Pour établir une analogie un peu bancale : mettre sa ceinture en voiture n’empêche pas les accidents, mais est-ce une bonne raison pour ne pas la mettre ?

Utiliser Tor ne protégera pas les échanges à partir d’un site : ça ne change rien à la sécurité des messages échangés via Twitter ou un webmail. Se « garantir contre tous les risques », c’est forcément un processus, pas un produit. Par exemple, des images contenant le numéro de série de l’appareil qui a servi à prendre les photos dans les métadonnées peuvent permettre d’identifier la source d’une journaliste, que les images aient été transférées en utilisant Tor ou pas.

Ah ben je découvre qu’il existe une liste impressionnante de projets connexes à Tor ? Pourquoi a-t-on besoin de tout cet écosystème ? Quels sont les principaux types de projets associés et quels sont ceux auxquels vous (Nos oignons) participez ?
Il y a effectivement plein de projets liés à Tor, en plus de Tor (le logiciel qui sert à faire tourner le réseau) : le navigateur Tor, HTTPS Everywhere, les logiciels de messagerie instantanée Tor Messenger et Ricochet, Pond (une alternative aux emails)…
C’est principalement pour pouvoir mieux protéger les usagers de Tor : par exemple, Tor Browser est une version de Mozilla Firefox équipée de contre-mesures pour éviter qu’on puisse vous pister de connexion en connexion.  Pond est un logiciel expérimental qui vise à fournir un service similaire aux emails, mais qui masque l’existence même d’une communication entre deux usagers donnés…
Il existe également Tails qui est un système d’exploitation live (i.e. qui peut fonctionner sur une clé USB sans installation sur un ordinateur) dont tous les logiciels intégrés passent par Tor. Utiliser un système spécialement conçu pour limiter les traces et les fuites comme Tails constitue une aide précieuse pour s’épargner des erreurs.
Notre équipe d’administration système contribue aussi à l’amélioration du projet Debian (la distribution GNU/Linux que nous utilisons principalement), entre autres sur la sécurité des services que nous utilisons, et une importante quantité de documentation, accessible à tou·te·s, couvre la configuration de nos services, leur sécurisation et les procédures que nous employons. Des membres de Nos oignons ont également créé graphnion pour afficher des graphes de relais.

Mais… c’est quoi les « services cachés » de Tor, encore un truc de fraudeurs pour échapper à la TVA sur les services ?
Pas vraiment… on parle de plus en plus de  services « .onion » ces temps-ci car de plus en plus de services sont accessibles publiquement ainsi.
Le fonctionnement habituel de Tor, c’est de permettre de se connecter à des sites Internet existants. Quand on utilise les services .onion, la connexion se fait vers un serveur qui utilise lui aussi Tor. Par exemple, cela permet pour une personne qui tient un blog politique d’être plus difficile à identifier par celles et ceux qui voudraient lui chercher des noises. Un autre intérêt est de s’assurer que les usagers du service « onion » n’y accèdent pas accidentellement sans Tor ; c’est en particulier utilisé par les systèmes de prise de contact avec les journalistes (comme « SecureDrop »), pour s’assurer que les sources ne s’exposent pas accidentellement. Depuis peu, on voit aussi de plus en plus de sites proposer un accès en .onion en plus de leur accès Internet habituel. Le plus utilisé est probablement Facebook. L’usage du .onion permet de garantir que la connexion se fait au bon serveur, et de bénéficier de la totalité de la bande passante du réseau Tor, sans être contraint par le nombre limité de nœuds de sortie.

Votre association gère aussi des « signalements d’abus ». De quoi s’agit-il ?
Parfois, des gens nous contactent pour nous informer d’un problème en provenance de nos serveurs : une tentative d’utiliser « toto123 » comme mot de passe sur un service Web, l’envoi de spam, ou encore des services qui trouvent que recevoir autant de connexions en provenance d’une même adresse Internet partagée par plusieurs personnes, c’est suspect. On leur explique alors que nous gérons des relais Tor et que nous ne sommes donc pas la source du problème. Cela dit, notre expérience est que seule une petite quantité de personnes utilisent Tor pour être pénibles : le nombre de signalements que nous recevons est bien faible en comparaison de la quantité de données que les relais de Nos oignons font transiter chaque mois.

En lisant votre documentation, on voit que vous cherchez à avoir davantage de « relais » ou des « nœuds de sortie », c’est la même chose ou non ?
Pas tout à fait : les relais (ou nœuds) sont les ordinateurs faisant partie du réseau Tor ; les nœuds de sortie sont ceux qui permettent de joindre des sites Internet existants. Pour ces sites, il est facile de penser que le nœud de sortie est à l’origine de la connexion. En cas d’usage malintentionné de Tor, c’est donc souvent l’opérateur du nœud de sortie qui est consulté. Ça représente plus de travail que de faire tourner un relais « simple ».

Est-ce que tous les opérateurs acceptent qu’on mette son ordinateur au service du réseau Tor ?
Pour les nœuds de sortie, beaucoup d’opérateurs ou d’hébergeurs ont des clauses qui leur permettent de couper l’accès sans préavis, à cause des plaintes qui pourraient leur arriver. Cela n’empêche pas d’utiliser Tor ou de faire tourner des points d’entrée prévus qui permettent de contourner les dispositifs de censure (appelés « bridges »).
D’autre part, faire tourner un nœud de sortie chez soi n’est pas très utile, à cause de la bande passante limitée et de la gestion des risques liés aux abus. Il est plus utile d’aider Nos oignons à financer de nouveaux nœuds de sortie. :-)

Le projet Tor se bat contre tous ceux qui voudraient faire disparaître l’anonymat, partout dans le monde. Mais en France, quelle est la situation, avec les lois sécuritaires qui s’empilent ? Tor est-il menacé ? Faut-il dès maintenant envisager un repli vers autre chose ?
L’anonymat est essentiel pour l’exercice des libertés fondamentales, particulièrement la liberté d’opinion. Tor n’est pour l’instant pas directement menacé en France. On sait toutefois que certains policiers souhaiteraient empêcher son usage, et que plus généralement, l’élite politique comprend mal les enjeux autour du chiffrement, comme on peut le voir autour de l’affaire FBI contre Apple couverte par les médias aux mois de mars-avril 2016.

Adopter Tor

Quoi qu’il en soit, Tor est conçu pour être un outil de contournement de la censure. Tor fonctionne même dans des pays particulièrement répressifs comme la Chine ou l’Iran qui disposent pourtant d’une capacité de filtrage et d’une politique répressive bien supérieures à ce qui existe en France actuellement. Réprimer l’utilisation de Tor risque d’être aussi efficace que de réprimer le partage d’œuvres en pair-à-pair : c’est un logiciel libre, facile à installer et à diffuser. En revanche il est clair que contribuer au projet, sous forme de code ou de relais pourrait être rendu plus difficile ou dangereux.

Il est donc important que les dizaines d’organisations et la centaine de particuliers qui font tourner des relais en France s’allient aux millions de personnes (dont une centaine de milliers en France !) qui utilisent régulièrement Tor. Restons vigilant·e·s et défendons nos libertés.

Tor a été conçu en partant du principe qu’il existera toujours des endroits où il sera possible de faire tourner des relais, où il sera possible de travailler à améliorer les logiciels et en faire la promotion.

Plusieurs projets envisagent un modèle beaucoup plus distribué et encore plus difficile à arrêter, mais c’est tout de suite plus compliqué comme problème à résoudre : ça pose la question de la compatibilité avec l’existant, et pour l’instant, rien n’est prêt pour le grand public. Il aura fallu dix ans à Tor pour être accessible à tout le monde. C’est important de soutenir ces projets le temps qu’ils mûrissent. Si Tor est remplacé un jour par un système plus fiable, ce sera tant mieux !

Je vois que vous utilisez une ribambelle de logiciels libres (Debian, Postfix, Mailman, Schleuder, SpamAssassin, BIND, Apache, Ikiwiki, Git, Keyringer, et encore de nombreux autres…) : le projet Tor serait-il possible sans des logiciels libres ?
Au-delà du fait qu’on ne peut pas faire confiance à un logiciel dont il est impossible de vérifier le fonctionnement, Tor doit rester accessible à toutes et tous. Personne de devrait avoir à payer pour pouvoir échapper au sentiment d’être surveillé·e. Mais partant de là, les ressources du projet sont plutôt limités. L’intérêt des logiciels libres est aussi de permettre de construire des solutions sur-mesure en assemblant plusieurs logiciels qui existent déjà. Ou alors de pouvoir demander de l’aide à d’autres personnes qui partagent les objectifs du projet Tor tout en travaillant sur d’autres projets. C’est important de pouvoir faire confiance à une communauté. Le projet Tails, par exemple, explique bien cette question de la chaîne de confiance en œuvre dans le logiciel libre.

De quoi avez-vous le plus besoin ? De compétences techniques, d’argent, de matériel, d’hébergement… ?

logoNosOignons
Le saviez-vous ? TOR est l’acronyme de The Onion Router, le routeur oignon. Sur le logo de l’association on voit en pointillés le trajet des données, chaque oignon-relais assure l’anonymat.

Nos oignons a bien sûr besoin d’argent pour payer l’hébergement de ses relais actuels et en ouvrir de nouveaux. Les dons réguliers sont précieux car ils nous permettent de mieux voir venir. Pour ce qui est des activités bénévoles, il y a beaucoup plus à faire côté communication et administratif que technique. On essaye d’accueillir toutes les bonnes volontés au mieux !

Actuellement, nous sommes particulièrement à la recherche de nouveaux hébergeurs, prêts à accepter un nœud de sortie Tor avec une bande passante conséquente. C’est nécessaire pour contribuer à la diversité du réseau : répartir les relais Tor chez le plus possible d’hébergeurs participe à la sécurité du réseau.

Message reçu ! Que nos lecteurs les plus aguerris rejoignent Nos oignons !

 

Quelques liens pour aller plus loin :

Suivre Goofy:

je lis des livres et mange des nouilles.

40 Responses

  1. vvillenave

    Au-delà de la propagande ignare ou de mauvaise foi, je suis récemment tombé sur quelqu’un d’intelligent ET honnête ET informé qui a un point de vue critique sur le réseau Tor :
    http://www.hackerfactor.com/blog/index.php?/archives/718-TOR-ified.html
    http://www.hackerfactor.com/blog/index.php?/archives/720-This-is-what-a-TOR-supporter-looks-like.html
    http://www.hackerfactor.com/blog/index.php?/archives/721-TOR-and-Trust.html
    Force m’est de reconnaître qu’une large partie de sa réflexion est pertinente et sainement argumentée — par exemple, sa critique de la campagne de promotion de Tor (qui n’est pas moins sous-tendue de propagande et d’idéologie que les débilités vomies quotidiennement dans la presse).
    Je pense, pour autant, qu’il commet l’erreur (cette «tâche aveugle idéologique» souvent observable chez certains devs) d’ignorer certains aspects socio-politiques essentiels du projet Tor — par exemple en présentant le filtrage des nœuds de sortie comme une simple mesure technique d’assainissement très facile à mettre en place, sans s’interroger un instant sur la censure que cela représente. (Voir d’ailleurs les articles du même auteur sur la «neutralité du réseau» pour une démonstration du même raisonnement fallacieux.)

    • Lunar

      Je viens de parcourir les articles. Je ne dirais malheureusement pas qu’ils sont bien informés. Il reprend beaucoup d’articles de la presse à sensation et il ne semble pas prendre en compte tous les usages possibles de Tor. Désolé, mais j’estime que ce serait trop long de faire une critique approfondie, alors en parti, je demande à être cru sur parole. Je vais quand même revenir sur quelques points :

      « However, the TOR Project’s self-promotion campaign is misleading at best. And this leads to people doing really stupid things on TOR. For example, people are using TOR to access online services that require logins. »

      Tor me permet d’accéder à des services sans que l’on sache où je me trouve, et rend difficile d’espionner ma connexion Internet. Tor me redonne le pouvoir de partager ses informations *si je le désire* et non pas parce que la technique me l’impose.

      « Over 90% of traffic coming to the Internet from TOR is hostile. » Non, vraiment, c’est pas possible d’écrire ça sans expliquer comment a été calculé le chiffre. Avec Nos oignons, si je prend le mois d’avril, on a reçu 21 signalements pour approximativement 1166 Terabits transférés. Ça fait un signalement pour 55 Terabits transférés. Ça fait autour de 4,8%.

      Ces mauvaises compréhensions ne sont sans doute pas toutes la responsabilité de l’auteur. Tor — et toutes les personnes qui voudraient participer à défendre les libertés fondamentales dans la société numérique — doit encore travailler le discours, rendre les aspects politiques plus évidents, trouver des solutions pour faire des statistiques qui ne nuisent pas à la vie privée et à la sécurité des gens…

      En tout cas, je ne comprends pas pourquoi tu parles de censure, ni de tâche aveugle idéologique. Si je continue à être bénévole pour Tor (et à participer à Nos oignons), c’est entre autre parce que c’est un projet d’une honnêté rare.

      • Lunar

        Euh… non, ça fait pas 4,8%. On peut pas compter comme ça ! C’est pas du tout que 55 Terabit sur 1166 qui sont malveillants. Désolé pour le coup de fatigue. Ça me paraissait beaucoup, j’aurais du réfléchir deux secondes de plus. 🙂

        On ne peut malheureusement pas savoir combien d’octets transférés l’ont été à des fins malveillantes. Donc on ne peut pas calculer un pourcentage du traffic !

      • nico

        Je trouve que cette propension à crier à l’injure dès que qlq’un a le malheur d’émettre des doutes ne met pas en confiance.
        Certains éléments de l’auteur sont p-e critiquables, tout comme certains éléments des défenseurs de Tor (personnellement, je n’ai jamais compris l’histoire des dissidents politiques chinois: vu que les nœuds d’entrée sont connus, une surveillance permet de savoir que X se connecte à Tor, ce qui dans une dictature est suffisant pour lui amener des ennuis. Le dissident peut utiliser d’autres techniques pour se cacher, mais dans ce cas, l’intérêt de Tor est assez réduit tandis que son usage néfaste ne l’est pas).
        Mais je trouverais plus constructifs de chercher des solutions pour éviter ces problèmes, que ces problèmes soient importants ou pas (en d’autres termes, je ne me satisfais pas de « mais ne vous inquiétez pas, c’est négligeable, mais oui, puisqu’on vous le dit »).
        Par exemple, l’auteur des articles en lien dans le commentaire précédent en propose: il ne propose pas d’interdire Tor, mais de filtrer les nœuds de sortie. Vu que ces nœuds sont le résultat de la communauté, la censure est peu probable sauf si tout le monde dans la communauté est favorable à celle-ci, tandis que tout le monde sera favorable à empêcher les nuisances)

        • Lunar

          « personnellement, je n’ai jamais compris l’histoire des dissidents politiques chinois: vu que les nœuds d’entrée sont connus, une surveillance permet de savoir que X se connecte à Tor, ce qui dans une dictature est suffisant pour lui amener des ennuis. Le dissident peut utiliser d’autres techniques pour se cacher, mais dans ce cas, l’intérêt de Tor est assez réduit tandis que son usage néfaste ne l’est pas »

          C’est pour ces raisons que le projet Tor a mis au point les « bridges » et tout l’écosystème des « pluggable transports ».

          Les bridges sont un ensemble de points d’entrée dans le réseau dont la liste n’est pas publique. Il existe un système automatique ( https://bridges.torproject.org/ ) pour en obtenir quelques-uns, mais certains ne sont même donnés que de la main à la main aux personnes en ayant besoin.

          Les « pluggable transports » permettent de déguiser le trafic de Tor pour qu’il puisse être difficilement reconnaissable. Il en existe plusieurs déjà utilisable, et des recherches sont en cours pour en inventer de nouveaux. obfs4 transformera le traffic en bruit, fte pour qu’il ressemble à SSH ou HTTPS, meek encapsule le traffic dans une connexion HTTPS à destination de fournisseurs de « cloud computing », SnowFlake permettra à tous les navigateurs avec WebRTC de devenir un point d’entrée… Les « pluggable transports » ne sont pas spécifique à Tor et il est possible de les utiliser pour contourner la censure d’autres protocoles.

          « filtrer les nœuds de sortie »

          Je ne vois rebondir que sur ce point là : est-ce que ce serait acceptable qu’un fournisseur d’accès Internet filtre ce qui sort de ses connexions ? Parce que si on filtrait toutes les connexions Internet, on aurait plus « ces problèmes » non plus. Mais dans ce cas là, on aurait plus Internet non plus…

          (Je n’ai pas compris l’histoire des insultes.)

          • nico

            > C’est pour ces raisons que le projet Tor a mis au point les « bridges » et tout l’écosystème des « pluggable transports ».

            C’est exactement ce à quoi je faisais référence avec: « Le dissident peut utiliser d’autres techniques pour se cacher, mais dans ce cas, l’intérêt de Tor est assez réduit tandis que son usage néfaste ne l’est pas »

            Par exemple, si je donne de main à main un bridge, je peux tout aussi bien donner une (ou plusieurs) adresse IP + une clé de chiffrement, et les communications échapperont tout aussi bien à la censure qu’avec Tor. Et si on me rétorque que le gouvernement peut remarquer un échange de donnée chiffrée vers une adresse IP surveillée, ben c’est un problème parfaitement identique avec Tor (qu’on peut résoudre par exemple avec les pluggable transports qui sont, comme tu le dis, pas limités à Tor).

            > est-ce que ce serait acceptable qu’un fournisseur d’accès Internet filtre ce qui sort de ses connexions ? … Mais dans ce cas là, on aurait plus Internet non plus…

            Le réseau Tor n’est PAS internet. Filtrer le réseau Tor ne signifie PAS que tu as cassé internet. C’est comme dire que si je filtre les emails qui passent par mon serveur mail pour empêcher le spam, cela empêche à internet de se développer. Sauf que ce n’est pas vrai: tu peux utiliser internet sans utiliser mon serveur mail.

            C’est là-dessus que repose la neutralité du net: le fait que tu peux mettre en place un service sur internet sans devoir demander la permission à quelqu’un. Cela ne veut pas dire que tu peux utiliser tout les services que tu veux de n’importe quelle façon que tu veux.
            Donc, cela veut dire que ceux qui construisent un service peuvent choisir d’y intégrer ce qu’ils veulent comme contraintes. Tant que ce service n’est pas requis pour utiliser internet, il n’y a aucun problème.

            Et c’est la question posée: vu que les gens de Tor crée un service, ils peuvent, s’ils le souhaitent, exclure de ce service les usages néfastes. Vu que tout le monde peut forker Tor, cela ne casse pas internet. Cela veut simplement dire qu’on aura un réseau Tor officiel « pour les bons usages » (les nœuds de sortie posant problème pouvant être identifiés et exclus), et libre à toi d’utiliser les forks qui n’ont d’intérêt que si tu veux faire un usage qui est considéré comme néfaste (il ne l’est pas forcément, mais si tu as des arguments, il n’y a aucune raison que le filtrage ne soit pas adapté).

            > (Je n’ai pas compris l’histoire des insultes.)

            « crier à l’injure » signifie « prétendre une parole offensante ou outrageante ». C’est bel et bien ce qui est fait si chaque fois qu’on pose une question pertinente, on est considéré comme un méchant pas gentil qui attaque.
            Ce n’est peut-être pas le cas, mais c’est ce qui ressort comme impression quand les critiques sont « il reprend des articles de la presse à sensation », « il est contre la neutralité du net », …

  2. nico

    L’article dit que Tor est utile pour: se protéger de publicitaires qui veulent nous bourrer le crâne, de patrons qui veulent nous empêcher de bosser tranquilles, de conjoints inquisiteurs, d’un filtre trop agressif dans une gare… Moins souvent, on veut protéger des communications confidentielles avec des médecins, des avocat·e·s, des journalistes…

    Aucun de ces usages ne requiert un anonymat absolu, il requiert simplement que l’identification ne puisse pas être faite par un seul acteur.

    Par contre, avec l’anonymat absolu, des usages que tout le monde trouve dommageables peuvent avoir lieu.

    Pourquoi ne pas mettre en place un système où les utilisateurs sont identifiables, via des logs, mais dont les logs sont distribués sur plusieurs nœuds de référence (aucun nœud individuel ne peut donc identifier qui que ce soit).
    Cela permet aux usages privés de fonctionner sans problème (votre patron ne pourra certainement pas accéder à ces logs), mais également aux usages humanitaires (un gouvernement ne pourra pas accéder aux logs sans passer par un juge, et sans devoir demander à d’autres pays).
    Par contre, pour les usages néfastes, les nœuds de référence peuvent collaborer soit entre eux, soit avec la justice, pour faire cesser ces activités.

    • Michael S.

      Les trafics néfastes échappent déjà aux contrôles sans avoir besoin de tor. Prenons par exemple la publication des panama Papers.

      Est ce qu’on a vu une majorité de pays réagir ? pas le moins du monde, à part l’islande. Et ça, c’est des trucs qui étaient en clair et que les gouvernements ont mis les moyens pour lutter. Et la raison est parce que les criminels mettent les moyens pour éviter la loi. Vu qu’il y a une réponse forte, alors il y a une évolution forte des moyens (voir aussi comment les prisonniers arrivent à communiquer dans les prisons malgré la surveillance).

      Donc à partir de la, tor n’apporte pas grand chose aux criminels, qui se tourneraient juste vers le marché noir (exemple, utilisation d’un bot net). Au contraire, le fait d’avoir une solution comme tor coupe l’apport de capitaux à des sociétés (voir divers articles du magazines MISC sur l’économie souterraine, j’ai pas les numéros en tête ) visant à proposer des solutions aux criminels, ce qui paradoxalement affaibli le marché et l’innovation du coté du marché noir.

      De surcroit, l’argument « mais ça aide aussi les méchants » s’appliquerais aussi à Framasoft, si la personne ne fait pas preuve de mauvaise foi. Est ce que quelqu’un va dire « mais framateam va permettre à des gangs de rue de s’organiser », « framacal permet à la mafia de gérer ses comptes sans que les impôts le sachent ».

      Ou de manière plus général, les logiciels libres ne placent pas de restrictions, et sont utilisés par des groupes que d’autres groupes n’aiment pas. Et pourtant, quelqu’un qui va dire « Linux aide les communistes » va le faire uniquement sur un site de parodie tellement l’idée est ridicule. Et pourtant, donner gratuitement un système plus sécurisé à tout le monde est sans aucun doute un frein au travail des forces de l’ordre. Par exemple, le fait d’avoir depuis longtemps une cryptographie forte sur les disques à poser des soucis. Et pourtant, j’entends pas dire « Ubuntu ne devrait pas offrir le chiffrement du /home car ça complique le travail des flics ».

      C’est bien la preuve qu’il y a 2 poids, 2 mesures, sans doute du aux articles sensationnalistes comme ceux qui sont cités dans ce thread, et au coté voyeuriste des gens qui vont sauter sur ce genre de torchon en vue de s’offusquer d’un truc sans vérifier les sources et sans se rendre compte qu’ils vont juste relayer pour augmenter les revenus publicitaires d’un site sans grand scrupules.

      • nico

        > Les trafics néfastes échappent déjà aux contrôles sans avoir besoin de tor. Prenons par exemple la publication des panama Papers.

        Les dissidents ou les whistleblowers échappent déjà aux répressions sans avoir besoin de tor. Prenons par exemple le watergate, qui n’a pas utilisé tor.

        De la même façon que Tor est un outil important parce qu’il AIDE les dissidents et la liberté d’expression, il a aussi des défauts car il aide les actes néfastes.

        C’est cet élément qui me dérange: le fait qu’il soit interdit de dire que Tor peut être utilisé à des fins négatives, tandis qu’on montre toujours les côtés positifs.
        Ceux qui pensent que Tor = darknet = grand banditisme sont des idiots, car ils occultent une partie de la réalité, le fait que Tor peut être très intéressant pour les droits de l’homme.
        Ceux qui occultent le fait que Tor peut aussi aider les réseaux néfastes ne valent pas mieux: ils font exactement la même erreur, et pour peu qu’ils avaient eu un parcours de vie légèrement différent, ce seraient ces mêmes personnes qui feraient des articles de journaux ou des discours politiques attaquant Tor.

        > Est ce qu’on a vu une majorité de pays réagir ?

        Je ne comprends pas cet argument. Quand on parle de fraude ou d’actes néfastes sur Tor, on me réponds que la justice les attrapent quand même. Et là, on me dit que la justice ne fait rien.
        Raison de plus pour prendre soi-même les choses en main et faire en sorte que ces actes néfastes ne soient pas toléré sur le réseau qu’on met en place (et ce n’est PAS de la censure, cela ne pose PAS de problème de « qu’est-ce qui est néfaste ou pas », car personne n’empêche un réseau similaire avec d’autres critères d’exister. Simplement, sur le réseau qu’on crée, qu’on soutient et qu’on finance, on sait à quoi sert le temps, l’argent et le soutien).

        > Donc à partir de la, tor n’apporte pas grand chose aux criminels, qui se tourneraient juste vers le marché noir (exemple, utilisation d’un bot net). Au contraire, le fait d’avoir une solution comme tor coupe l’apport de capitaux à des sociétés (…) visant à proposer des solutions aux criminels, ce qui paradoxalement affaibli le marché et l’innovation du coté du marché noir.

        Premièrement, c’est une vision tronquée du marché noir. Le marché noir, justement, c’est un marché avec les vendeurs et les acheteurs. Et au final, plus il y a d’acheteurs, plus le marché noir se porte bien.
        Sauf que les acheteurs, au départ, ce sont des gens comme toi et moi: ils n’ont pas de contacts dans la mafia, ils ne connaissent pas un ex-taulard, …
        Ce qu’ils font alors, c’est prendre contact avec le marché noir et c’est la un GROS point faible du marché noir.
        En effet, les vendeurs du marché noir doivent faire 2 choses contradictoires: ils doivent se cacher de la police, mais se montrer aux acheteurs potentiels. C’est d’ailleurs un moyen habituel de démanteler un réseau: la police se fait passer pour u acheteur potentiel.

        Cet aspect-là ne satisfait pas ton argument: cette couche d’acheteur n’est PAS les moyens d’investir des sommes pour accéder au marché, et même s’il l’a, il ne va pas le faire: trop de risque de se faire escroqué, trop de risque d’être tombé dans un pot de miel, …
        Par contre, avec un outil d’anonymation, on peut prendre contact avec le marché noir sauf payer ou en se mettant moins en danger.

        Alors, oui, le marché noir existe tel qu’il existe actuellement. Mais cette forme est en partie due à justement le fait que Tor n’était pas là.
        C’est tout aussi stupide que de dire qu’on ne doit pas craindre la surveillance de l’état sur internet parce que les services de renseignement sont principalement centrés sur les écoutes téléphoniques.

        Deuxièmement, je ne comprends pas la logique avec l’affaiblissement du marché.
        On a un vendeur V, qui possède 100 euros, un intermédiaire I, et un acheteur A.
        À l’heure actuelle, V va payer disons 50 euros à l’intermédiaire I pour atteindre l’acheteur A.
        Si l’intermédiaire I n’est plus nécessaire, ce sont 50 euros qui peuvent être utilisé à d’autre fin. L’intermédiaire I disparait, mais cela renforce V.
        À la limite, on pourrait dire que le nombre d’acteurs néfastes diminuent, mais pas que le marché s’affaiblit.
        Et en réalité, il y a bien plus à parier que l’intermédiaire va se reconvertir dans une autre activité néfaste, et que les 50 euros vont être investi pour développer des mesures plus efficaces pour protéger le vendeur et l’acheteur.

        C’est comme dire que la fin des ventes de CD physique va affaiblir le marché de la musique parce que les vendeurs de CD vont disparaitre.

        > De surcroit, l’argument « mais ça aide aussi les méchants » s’appliquerait aussi à Framasoft, si la personne ne fait pas preuve de mauvaise foi.

        Il faudrait savoir: dans tout ton discours précédent, tu t’efforces de montrer que ça n’aide pas vraiment les méchants.
        Sauf qu’en fait, je suis d’accord avec ça: Framateam PEUT être utilisé par les gangs, Linux PEUT aider les communistes.
        Tu mets le doigt sur ce que je trouve débile chez les fans de Tor: le fait qu’ils s’écrient: « non non non, Framateam ne peut pas être utilisé par les gangs, si vous dites ça, vous êtes un menteur ».
        Non, la bonne chose à dire, c’est: « Framateam peut être utilisé par les gangs, mais cela ne veut pas dire que c’est un mauvais outil ou que c’est de sa responsabilité ».

        Sauf que la situation est différente avec Tor. Framateam a pour but de s’organiser. S’organiser en soi ne soulève pas de question sociale, d’éthique, ou politique. Tor a pour but de rendre anonyme. Et là, c’est une question 100% politique, 100% reliée à la façon dont fonctionne la société (car si un membre de la société peut faire des actions sans que personne ne le sache, cela remet en cause tout l’exécutif).
        Ce n’est pas ma faute si Tor soulève cette question. Et le fait qu’elle soulève cette question est simplement un fait. Dire « Framateam ne soulève pas cette question donc Tor ne la soulève pas » est idiot.

        Ensuite, je vais personnellement un cran plus loin et je pose la question: « comme on est des adultes, jetons un œil à la façon dont ça fonctionne, et p-e qu’on peut court-circuiter certains éléments qui sont reprochés à Tor ». Je n’ai aucun problème à ce qu’on me réponde « j’y ai réfléchi et rien ne marche, voilà mes notes ». Sauf que je suis trop souvent confronté à « non ! pas question ! c’est tabou ! et puis ça ne marche pas, c’est comme ça. » suivi d’une explication qui est très très faible.

        > C’est bien la preuve qu’il y a 2 poids, 2 mesures, sans doute du aux articles sensationnalistes comme ceux qui sont cités dans ce thread

        Premièrement, comme expliqué avant, il n’y a pas 2 poids 2 mesures: le but de Framateam est de s’organiser, et les questions posées sur Framateam concerne l’organisation et l’impact de l’organisation sur la société (rien de très controversé, voilà pourquoi il y en a moins). Le but de Tor est de rendre anonyme, et les questions posées sur Tor concerne l’anonymat et l’impact de l’anonymat sur la société. Il n’y a pas 2 poids 2 mesures: simplement, les questions sont différentes.
        Ce serai comme dire: on critique beaucoup les policiers et l’organisation de la police, pourtant, les balayeurs de rue sont aussi des fonctionnaires, il y a donc 2 poids 2 mesures. En réalité, ce n’est pas le cas, c’est simplement que l’action des balayeurs de rue est moins problématique au niveau social que celle de la police.

        Deuxièmement, tu parles d’articles à sensation comme donné dans ce thread. Sauf qu’au contraire, les articles donnés me semblent de bonne foi, pas à vocation de générer du clic.
        Dans une situation normale, lorsque j’ai un outil, il y a toujours des gens qui soulignent les avantages et d’autres qui soulignent les défauts. Dans les deux cas, ces personnes peuvent être dans l’erreur, dans un sens comme dans l’autre d’ailleurs. Le fait que pour Tor, TOUT ceux qui soulignent un défaut sont selon toi malhonnêtes intellectuellement pose problème. Si tu n’es pas capable de trouver des articles critiques de Tor (pas que sur sa sécurité, sur ses implications également) qui sont légitimes, c’est que le problème est de ton côté, c’est que c’est toi qui est incapable d’accepter la critique sans tenter de la délégitimer en leur donnant des motivations critiquables.

        Attention, je suis 100% d’accord avec l’existence d’articles torchons.
        Mais il faut savoir passer outre. Ce n’est pas parce que l’article torchon dit que Tor n’a que des conséquences néfastes que cela veut dire que la vérité est que Tor n’a que des conséquences bénéfiques. Apparemment, chaque fois qu’on veut aller plus loin, on sort le ticket « hophophop ! il existe des articles torchons. toute critique est donc automatiquement ignorée sans réfléchir à sa validité ».
        Par ailleurs, en soulignant que Tor n’a aucun défaut, cela renforce les gens dans leur idée que Tor a des défauts: ils voient bien que si on est anonyme, on peut faire des actes néfastes (ils n’ont pas bien compris à quel point cela est négligeable à cause d’autres mécanismes, certes), et donc, celui qui dit que ces actes n’existent pas passe pour quelqu’un qui n’est pas au courant des réalités et dont il faut donc ignorer le discours. Une meilleure approche est de dire « oui, Tor permet ça, ça et ça, mais voici pourquoi ça en vaut quand même la chandelle ».

  3. las

    Tor est toujours utile pour éviter d’être une cible de la surveillance, par la NSA, qui peuvent mettre sur écoute des personne des personnes qui tapent des mots-clés, comme chiffement, cryptographie.
    Il ne faut pas oublier que des milliers de personnes sont infectées par windows, par des trojan de type « validator », pour vérifier si la cible est intéressante, ou pas.
    Si elle est intéressante, on infecte, soit par phishing\MITM\QUANTUMINSERT.

    De plus, pour des entreprises qui font de la veille, ou des chercheurs qui font de la veille documentaires, par exemple en indistrie, la NSA montre très grand intérêts en France, et les recherches peuvent aguiller la NSA et la GCHQ à infecter des cibles particulières.

  4. Père Des Peuples

    @las : ce sont des trojans pour Windows ? ça voudrait dire que rien que le fait d’utiliser GNU/Linux comme OS compliquerait déjà la tache de la NSA ?

    • Anonyme

      @Père des peuples Bien sur, et ça vaut autant pour tout un tas de logiciels privateur et de sites web.

  5. Biggus Dikkus

    Je cite
    « Avec Nos oignons, si je prend le mois d’avril, on a reçu 21 signalements pour approximativement 1166 Terabits transférés. Ça fait un signalement pour 55 Terabits transférés. Ça fait autour de 4,8%. »

    Donc, en gros, sur 29 jours, 21 de vos utilisateurs ont commis des actions illégales qui ont été détectées. La grande question, c’est combien ne l’ont pas été?
    Sur les 1166TB, quelle est la fraction de contenu illégal (comme des images/vidéos pédophiles) ? Combien de documents de l’IS ont transité par votre noeud ?
    Simplement compter le nombre de dénonciations est terriblement fallacieux, et dangereux, mon petit monsieur.

    • Lunar

      « Donc, en gros, sur 29 jours, 21 de vos utilisateurs ont commis des actions illégales qui ont été détectées. »

      Ce ne sont pas des utilisateurs de Nos oignons spécifiquement, mais de Tor en entier. Tor choisi les relais de façon aléatoire. Par ailleurs, rien n’indique non plus que ce soit 21 personnes différentes. C’est peu probable, mais les plaintes pourraient toutes être à cause d’une seule personne. Je n’ai pas été non plus lire en détail la nature des plaintes. Alors « illégales » peut-être, mais dans quelle juridiction ? Il y a des actes unanimement condamnés, mais pour d’autres, c’est beaucoup plus compliqué :
      https://fr.wikipedia.org/wiki/Homosexualit%C3%A9#/media/File:World_laws_pertaining_to_homosexual_relationships_and_expression.svg

      Ce n’est pas pour nier que des personnes se servent de Tor pour (tenter) de commettre des actes malveillants. Mais il me semble que ce n’est pas différent d’Internet en général. Il serait intéressant si des hébergeurs comme OVH ou Online pouvaient donner leurs statistiques. Je suis assez sûr qu’ils ont également des serveurs utilisés pour commettre des actes malveillants.

      « quelle est la fraction de contenu illégal (comme des images/vidéos pédophiles) ? Combien de documents de l’IS ont transité par votre noeud ? »

      Pose-t-on la même question à La Poste ? Aux FAI ? Aux sociétés d’autoroutes ?

      Les personnes qui ont décidés de commettre des crimes n’ont pas besoin de Tor. Elles peuvent corrompre, pirater des serveurs, se créer des sociétés écrans à l’étranger… Par contre, qu’elles sont les moyens des les victimes de pédophiles qui souhaiteraient préparer leur fuite en eveillant le moins de soupçons ?

      • nico

        > Ce ne sont pas des utilisateurs de Nos oignons spécifiquement, mais de Tor en entier.

        Je pense que cette nuance est à côté de la plaque, cela ne change rien à la phrase: « 21 utilisateurs de Tor qui sont sortis par votre nœud ».

        > Alors « illégales » peut-être, mais dans quelle juridiction ?

        Et inversement, certaines juridictions tolèrent des actes unanimement condamnés. Si tu dois pondérer à la baisse sur base du fait qu’il y a des dépôts de plainte qui te paraissent le résultat de mauvaises lois, tu dois pondérer à la hausse pour tout ces pays qui, même si illégal sur le papier, ne génèrent pas de dépôts de plainte.

        Et dans les deux cas, le nombre de plainte ne peut être que le sommet de l’iceberg, à moins de prétendre que les autorités sont capables de voir et reporter tout les actes néfastes, mais cela est contradictoire avec ce que tu dis par la suite quand tu dis que les méchants n’ont pas besoin de Tor.

        > Il serait intéressant si des hébergeurs comme OVH ou Online pouvaient donner leurs statistiques.

        C’est ce qui est fait dans les liens donnés par vvillenave, mais j’ai l’impression que si ces chiffres sont négatifs, ils seront balayés d’un revers de la main.
        Par exemple, il donne les chiffres de CloudFlare (90% du trafic issu de Tor est hostile)

        > Pose-t-on la même question à La Poste ? Aux FAI ? Aux sociétés d’autoroutes ?

        Non, car ni La Poste, ni les FAI, ni les sociétés d’autoroutes créent un système qui permet de se rendre anonyme.
        Ce qui est dérangeant, c’est que ni La Poste, ni les autres, ne peuvent réellement changer les choses pour éviter ça, mais qu’alors que Tor peut réduire les actes néfastes sans avoir d’impact sur les actes bénéfiques, on sort des excuses qui ne tiennent pas la route.
        Avec Tor, on a un système qui offre des avantages et des inconvénients. Mais on se rend compte en réfléchissant un minimum qu’on peut mettre sur pied un système avec 100% les mêmes avantages et 0% des inconvénients.

        > Par contre, qu’elles sont les moyens des les victimes de pédophiles qui souhaiteraient préparer leur fuite en eveillant le moins de soupçons ?

        Si les pédophiles peuvent échapper à la surveillance de la justice sans l’aide de Tor, alors, les victimes des pédophiles peuvent échapper à la surveillance des pédophiles sans l’aide de Tor (je doute très très fort que si qlq’un a accès à un ordinateur où il peut utiliser Tor, il ne peut pas se connecter à n’importe quel autre service chiffré. Si tu as peur d’un man-in-the-middle ou d’un keylogger ou autre, les mêmes problèmes se posent pour Tor et les contournements pour Tor sont facilement traduisible pour n’importe quel autre système).
        D’un point de vue technique, il n’y a AUCUNE différence entre qlq’un qui souhaite être anonyme parce que son gouvernement veut l’arrêter pour les mauvaises raisons et qlq’un qui souhaite être anonyme parce que son gouvernement veut l’arrêter pour les bonnes raisons.
        La différence se fait uniquement via de la modération (où on donne les règles: « ceci est néfaste et donc pas toléré »), ce qui est rejeté en bloc dès qu’on a le malheur d’en parler.

        • Lunar

          « Par exemple, il donne les chiffres de CloudFlare (90% du trafic issu de Tor est hostile) »

          Chiffre que n’a jamais pu expliquer CloudFlare. À moins de disposer de la capacité d’écouter tous les nœuds du réseau, comment peut-on arriver à un tel résultat ?

          « Non, car ni La Poste, ni les FAI, ni les sociétés d’autoroutes créent un système qui permet de se rendre anonyme. »

          Euh… N’importe qui peut prendre une enveloppe, y mettre un timbre et glisser le tout dans une boîte aux lettres au bord de la route. Les accès au Wi-Fi dans beaucoup de café sont libres. Et les sociétés d’autoroute n’exige pas de voir les papiers de toutes les personnes qui se trouvent dans un véhicule. Je ne comprends vraiment pas le sens de ton argument.

          « on sort des excuses qui ne tiennent pas la route »

          Vouloir rendre possible d’exercer les libertés fondamentales dans le monde numérique n’est pas une excuse, c’est tout l’enjeux.

          • nico

            > Chiffre que n’a jamais pu expliquer CloudFlare. À moins de disposer de la capacité d’écouter tous les nœuds du réseau, comment peut-on arriver à un tel résultat ?

            Leur résultat est simplement: « du trafic qu’on reçoit, de la part qui vient de Tor, on a 90% d’hostile ». Cela ne veut rien dire de plus ou de moins.
            N’est-ce pas ce que tu demandais à OVH et Online ? OVH et Online ne peuvent pas non plus donner un chiffre « pour tout les serveurs ». Imaginons que OVH disent « on reçoit 5% de plainte par an pour nos serveurs ». De la même façon, on peut leur répondre: « oui mais qui vous dit que vos serveurs ne sont pas particulièrement utilisés (ou pas utilisés) par les méchants ». Si tu réponds: « c’est peu probable qu’il y ait de grande disparité entre OVH et le reste du monde », alors, tu dois aussi reconnaitre l’argument « c’est peu probable qu’il y ait de grande disparité entre le trafic vu par CloudFlare et le trafic en général ».

            > Je ne comprends vraiment pas le sens de ton argument.

            Ton exemple serait valide s’il y avait une poste non-anonyme, et qu’au dessus de cette poste non-anonyme, on crée une poste anonyme. Si c’était le cas, on poserait des questions à cette poste anonyme, et on aurait 100% raison de le faire (cela ne veut pas dire que cette poste anonyme serait méchante, ni que ceux qui posent des questions sont des méchants qui veulent interdire cette poste anonyme).

            La différence avec Tor, c’est que Internet existe, et Tor vient au dessus d’internet pour proposer un Internet-anonyme.
            Ni la poste, ni les FAi ni les autoroutes n’ont été créé dans le but d’explicitement rendre anonyme quelque chose qui ne l’était pas.

            > Vouloir rendre possible d’exercer les libertés fondamentales dans le monde numérique n’est pas une excuse, c’est tout l’enjeux.

            Pour la 10000 fois: il existe des solutions qui exercent les libertés fondamentales tout aussi bien que Tor sans avoir les inconvénients de Tor.
            Par exemple, l’établissement d’UN réseau avec filtrage des nœuds de sortie pour les éléments néfastes n’est PAS contre les libertés fondamentales car:
            1) PERSONNE ne t’oblige à utilise ce réseau, d’autres réseaux peuvent exister et être développé, ce n’est donc même pas une violation de la neutralité de réseau
            2) ce filtrage ne peut s’établir que sur les éléments « unanimement condamnés », car si ce n’est pas le cas, les utilisateurs migreront vers un autre réseau qui appliquent des règles plus correctes. Et ce filtrage des usages néfastes n’a aucun impact sur la vie privée ou l’accès à internet ou n’importe quoi de « liberté fondamentale ».

            C’est donc bel et bien une excuse: tu rejettes la réflexion avec le prétexte « liberté fondamentale ». C’est un homme de paille que de dire « quoi que tu dises, vu que tu ne proposes pas exactement ce que propose Tor, c’est donc que tu empêches l’exercice des libertés fondamentales ».

          • Lunar

            Dire « 90% du trafic issu de Tor est hostile » et « du trafic qu’on reçoit, de la part qui vient de Tor, on a 90% d’hostile » n’est pas du tout la même chose !

            Si je m’amuse à mettre en place des serveurs sans contenu légitime pour voir qui essayent de le pirater (c’est le principe des honeypots), les connexions qui arriveront jusqu’au serveur auront rarement un but bienveillant. À ce moment là, facile de dire 90% du trafic venant de Tor est hostile. On pourrait tout autant dire 90% du trafic venant de Russie est hostile. Ou encore 90% du trafic venant d’Internet est hostile.

            Le seul moyen de dire « 90% du trafic de Tor est hostile » avec raison serait d’espionner un nombre important de nœuds de sortie. C’est seulement là qu’il serait possible de comprendre ce qu’est réellement « le trafic de Tor ». Mais faire une telle recherche ne serait pas éthique — ni conforme à la legislation européenne — car elle demande de mettre sous surveillance des personnes sans avoir la possibilité de s’assurer de leur consentement.

            En attendant, je trouve que réfléchir avec comme données les plaintes reçues par les opérateurs de relais n’est pas une si mauvaise option.

            « Ni la poste, ni les FAi ni les autoroutes n’ont été créé dans le but d’explicitement rendre anonyme quelque chose qui ne l’était pas. »

            Je crois que c’est la phrase la plus intéressante qui est sortie de cet échange. Parce que c’est le nœud du problème. Les technologies numériques et Internet ont permis de mettre sous surveillance des activités humaines qui ne pouvaient pas l’être. Avec un journal papier, il est difficile de savoir qui a lu quel article et pendant combien de temps. Si on se croise au coin d’une rue et qu’on bavarde, il y a peu de chance que des gens s’en rappellent 5 ans après. Si je décide d’envoyer un tuyau par la poste à un journaliste, il sera possible de savoir dans quelle ville l’enveloppe a été postée, mais guère plus.
            L’objectif avec Tor, c’est de pouvoir retrouver cette absence de surveillance lorsqu’on a des activités similaires dans le monde numérique. Et c’est bien pour ça que c’est crucial pour les libertés fondamentales dans un monde où les technologies numériques occupent une place toujours plus importante dans nos quotidiens. On ne peut pas pleinement exercer les libertés d’opinion, d’association, et d’expression si on est constamment sous surveillance.

            « l’établissement d’UN réseau avec filtrage des nœuds de sortie pour les éléments néfastes n’est PAS contre les libertés fondamentales » Je ne vois toujours pas comment des gens pourraient décider ce qui est néfaste et ce qui ne l’est pas d’une façon intéressante. Pour donner un exemple : lorsque je fais du sysadmin, j’utilise Tor pour vérifier que mon pare-feu et mes détecteurs d’intrusions tiennent la route. Ça me permet facilement de faire des connexions vers mon propre serveur depuis un autre point d’Internet. Si on ne fait que regarder le trafic qui sort du relai Tor, alors on aura l’impression qu’on en est train d’attaquer mon serveur. Sauf que pas vraiment, vu que c’est un essai sous mon contrôle…

          • nico

            > n’est pas du tout la même chose !

            My bad pour n’avoir pas formulé ça correctement. Mais le fait de jouer les vierges effarouchées en supposant que je suis un méchant manipulateur de chiffre correspond assez à la tendance (que je dénonce justement) de toujours poser toutes les critiques comme des attaques.

            > Si je m’amuse à mettre en place des serveurs sans contenu légitime pour voir qui essayent de le pirater (c’est le principe des honeypots), les connexions qui arriveront jusqu’au serveur auront rarement un but bienveillant

            De là à prétendre que le fait qu’on a une si grande disparité entre le trafic issu de tor et pas de tor n’est pas quelque chose qui devrait poser question à n’importe qui d’un peu objectif …

            > L’objectif avec Tor

            Je repose la question pour la 10001ème fois: la solution que je propose permet de faire tout les éléments que vous citez sans aucun problème. Cette solution ne permet pas d’obtenir l’apocalypse libertaire sur laquelle vous fantasmez. Par contre, elle permet de contrôler un peu les usages néfastes.
            Pourquoi diable refusez vous de ne fut-ce que considérer cette solution ?
            N’y a-t-il pas un problème quand toute réflexion est impossible parce que « houlàlà, non, Tor, c’est la liberté, en parler, c’est détruire la liberté » ?

            > Je ne vois toujours pas comment des gens pourraient décider ce qui est néfaste et ce qui ne l’est pas d’une façon intéressante.

            Vous pouvez me pointer où exactement dans les commentaires précédents vous avez introduit cet argument ?
            Il est possible que je l’ai loupé.
            Il est possible que ça allait de soi pour vous (même si je me méfie de cela, j’ai également vu des gens s’écrier que des simples méthodes sont bien trop compliquées, tout en expliquant les techniques de bridges et de pluggable transports, qui sont elles-mêmes des complications d’au moins le même ordre).
            Il est également possible que ça soit, comme je l’ai malheureusement vu souvent, de nouveau une fuite vers l’avant « mon précédent argument était effectivement à côté de la plaque, mais je vais ignorer ça trouver un nouvel argument en prétendant que c’est ce que je dis depuis le début, car mon but n’est pas de dialoguer et d’arriver à une conclusion réfléchie, mais d’arriver à la conclusion à laquelle je voulais déjà arriver avant le commencement du dialogue ».

            Pour répondre à la question: cet usage est pratique, mais il n’est pas indispensable, et il n’a rien à voir avec les bienfaits miraculeux de protection de la vie privée et des dissidents qu’on ressort à chaque fois.
            Les gens pouvaient tester leur serveurs avant Tor, d’autres les testent aujourd’hui sans utiliser Tor. Je reconnais que c’est plus pratique, mais cela ne veut pas dire que le jeu en vaut la chandelle.

          • Lunar

            « De là à prétendre que le fait qu’on a une si grande disparité entre le trafic issu de tor et pas de tor n’est pas quelque chose qui devrait poser question à n’importe qui d’un peu objectif … »

            Désolé que ça soit si dur à comprendre. Alors une dernière tentative d’explication. Mettre en place un site sans contenu légitime pour voir qui essaye de l’attaquer, c’est un peu comme recuillir de la pluie. Il y a en permanence des gens qui tentent d’attaquer des sites. Donc c’est un peu comme s’il pleuvait. L’analyse que peut faire CloudFlare avec leurs honeypots, c’est « d’où tombent les gouttes ? »

            On pourrait voir un système comme Tor (qui mélange plein de connexions qui ne ressortent qu’à un petit nombre d’endroits) comme un entonnoir sur le trajet des gouttes. Si je me contente de regarder la sortie de l’entonnoir, je vais pouvoir dire « la plus grande partie de la pluie tombe là ». Sauf que cela nous en apprend plus sur le fonctionnement d’un entonnoir que sur celui de la pluie.

            Les chiffres avancés par CloudFlare n’ont jamais comparé Tor vs. tout le reste d’Internet confondu. Comparaison faite par Akamai, autre gros fournisseur de CDN, qui d’après lui ne remarque pas plus d’attaques malveillantes en provenance de Tor que du reste d’Internet.

            Ce sera ma dernière réponse. L’insulte issue de la culture du viol vaut au moins aussi bien qu’un point godwin en ce qui me concerne. (Parce que c’est quoi le problème de la vierge éffarouchée ? Qu’elle veut pas baiser ? Sauf que si elle est pas envie, et bah elle a pas envie. Et qu’elle se casse parce qu’elle te fait pas confiance pour le comprendre, bah c’est ton problème, pas le sien.)

          • Lunar

            « De là à prétendre que le fait qu’on a une si grande disparité entre le trafic issu de tor et pas de tor n’est pas quelque chose qui devrait poser question à n’importe qui d’un peu objectif … »

            Désolé que ça soit si dur à comprendre. Alors une dernière tentative d’explication. Mettre en place un site sans contenu légitime pour voir qui essaye de l’attaquer, c’est un peu comme recuillir de la pluie. Il y a en permanence des gens qui tentent d’attaquer des sites. Donc c’est un peu comme s’il pleuvait. L’analyse que peut faire CloudFlare avec leurs honeypots, c’est « d’où tombent les gouttes ? »

            On pourrait voir un système comme Tor (qui mélange plein de connexions qui ne ressortent qu’à un petit nombre d’endroits) comme un entonnoir sur le trajet des gouttes. Si je me contente de regarder la sortie de l’entonnoir, je vais pouvoir dire « la plus grande partie de la pluie tombe là ». Sauf que cela nous en apprend plus sur le fonctionnement d’un entonnoir que sur celui de la pluie.

            Les chiffres avancés par CloudFlare n’ont jamais comparé Tor vs. tout le reste d’Internet confondu. Comparaison faite par Akamai, autre gros fournisseur de CDN, qui d’après lui ne remarque pas plus d’attaques malveillantes en provenance de Tor que du reste d’Internet.

            Ce sera dernier commentaire. L’insulte issue de la culture du viol vaut au moins aussi bien qu’un point godwin en ce qui me concerne. (Parce que c’est quoi le problème de la vierge éffarouchée ? Qu’elle veut pas baiser ? Sauf que si elle est pas envie, et bah elle a pas envie. Et qu’elle se casse parce qu’elle te fait pas confiance pour le comprendre, bah c’est ton problème, pas le sien.)

          • nico

            > Désolé que ça soit si dur à comprendre.

            Ce n’est pas du tout dur à comprendre. Dans ton histoire d’entonnoir, on remarque quand même que tandis qu’une requête malveillante apparait toutes les 11500 requêtes sur internet, on en a une toutes les 380 avec Tor. Et c’est Akamai qui le dit.
            (après, il y a cette histoire de conversion rate, dont je suis sur que tu vas ressortir sans la comprendre. Ce taux de conversion dit simplement: avec la méthode A, j’ai 1 mauvais truc sur 10, avec la méthode B, j’ai 1 mauvais truc sur 100, j’utilise la méthode B 10x plus que la méthode A, donc, niveau mauvais trucs, j’en reçois autant de A que de B. Mais le problème reste le même: la méthode A reste bcp moins bonne que la méthode B)

            > ne remarque pas plus d’attaques malveillantes en provenance de Tor que du reste d’Internet.

            Sophisme: Robert fait une faute de calcul une fois sur 100, Raymond fait une faute de calcul une fois sur 2, je demande à Robert de faire 100 calculs et à Raymond de faire 2 calculs. Je constate qu’au final, il y a 2 erreurs, une de Robert, une de Raymond. C’est donc selon toi que Robert et Raymond sont tout les deux aussi bons en calcul.

            > L’insulte issue de la culture du viol

            Le choix des mots n’était en effet pas pertinent, merci de mettre le doigt là-dessus. Cependant « faire sa vierge effarouchée » est un synonyme de « faire son naïf », et je n’ai JAMAIS sous-entendu autre chose que cela. Si tu considères cela comme une insulte, alors, tu m’as également insulté plus durement avec « ce n’est pas dur à comprendre » (cependant, je ne t’en tiendrais pas rigueur, car je préfère le dialogue au conflit). Il ne faut pas chercher là-dedans une tentative d’insulte de ma part ou inventer des sens qui n’existent pas (si je fais une recherche sur ce site, « vierge effarouchée » apparaît 4 fois dans les commentaires, sans que personne ne souligne le problème)
            J’aurais cependant du me douter que tu ne laisserais pas passer une occasion de me dépeindre en méchant, c’est d’ailleurs le reproche que je fais dans mon premier commentaire:
            « Je trouve que cette propension à crier à l’injure dès que qlq’un a le malheur d’émettre des doutes ne met pas en confiance. »
            Merci de confirmer que ce sentiment n’est pas imaginaire.

            > Ce sera dernier commentaire.

            Pas de problème. Ne m’en veux pas de rester sur mes conclusions alors: la communauté qui promeut Tor est incapable de réfléchir, reste bloqué sur des concepts clichés, et tentent par tout les moyens d’éviter le dialogue, en ne répondant pas aux questions qui les dérangent, au point de s’imaginer leur interlocuteur comme un ennemi et interpréter leur moindre mot comme une insulte leur offrant une échappatoire.
            Ce n’est pas la première fois que je suis confronté à ce scenario, et n’est sûrement pas la dernière.
            Il te permet de dormir sur tes oreilles, content d’avoir vaincu un ennemi, alors que j’étais un solide allié et que mes propositions auraient pu renforcer la cause en coupant l’herbe sous le pied des critiques stupides « Tor c’est pour les malveillants » (ou pas, mais rien de convainquant n’a été mis en avant pour expliquer pourquoi ça n’aurait pas marché).

        • boklm

          Akamai donne des chiffres plus detaillés que le très vague 90% de Cloudflare:
          https://twitter.com/AlecMuffett/status/730773970383982592

          Selon leurs chiffres, si le nombre moyen de connexions malveillantes en provenance d’une IP Tor est plus important que pour une IP non-Tor, c’est simplement par ce que le nombre de connexions en provenance d’une IP Tor est bien plus important que depuis une IP non-Tor. Selon eux, la proportion de traffic malveillant est à peu près la meme pour une IP Tor ou non-Tor.

      • Michael S.

        On peut comparer aussi aux nombres de mail envoyé par l’HADOPI pour la france, Si on mise sur du 100 000 mails par mois en 2014 (http://www.nextinpact.com/news/91409-le-nombre-d-avertissements-envoyes-par-hadopi-chute-20.htm) , et sur 45 millions d’internautes en france, ça fait du 2%. Et c’est juste par l’HADOPI, sachant qu’il y a d’autres types de signalement envoyés (exemple, spam, virus, ayants droits ne passant pas par l’HADOPI).

        A coté de ça, on voit 21 signalements pour un nombre de clients qu’on peut estimer de l’ordre de 500 000 (cf https://blog.torproject.org/blog/how-to-handle-millions-new-tor-clients ). On est largement en dessous des 2%, donc l’hypothése qu’il y a plus de souci sur tor qu’ailleurs ne tient pas vraiment la route devant ces chiffres. Et j’ai aussi comparé par rapport aux chiffres du boulot ( quelques signalements par mois pour 8 000 personnes, et je compte aussi les soucis de sécu dans les signalements ).

        On voit que dans tout les cas, c’est un trafic ultra minoritaire. Le mettre en épingle est donc largement non justifier.

  6. bruno-legrand

    A quand un nœud Tor hébergé/géré par framasoft ?! 😉

  7. las

    @Père Des Peuples

    Oui, il y a des modules développés par les five-eyes qui ciblent Windows, via des trojans comme double fantasy ou triple fantasy qui infecte à tout va pour savoir si la cible est intéressante ou pas, et faire des attaques « ciblées », bien que selon la cible, on installe la backdoor regin, pour la plateforme regin, ou encore on infecte avec la plateforme grayfish2, qui est capable de reprogrammer le firmware du disque dur (en partition MBR), ou, sous toute réserve,infecter le firmware UEFI exploitant des failles de UEFI( partition Guid).

    http://www.kaspersky.com/about/news/virus/2015/equation-group-the-crown-creator-of-cyber-espionage

    2012/2013/début 2014 a été une grande période d’espionnage en france\belgique via regin, qui est cibl pour de l’espionnage économique/politique.

    http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

    Pour GNu\Linux, pas d’infos, mais il semble plus compliqué d’infecter un GNU\Linux à jour sans flash pour un PC seul, bien qu’il faut penser à bien sécuriser les éléments exterieurs (routeurs, etc).

    Là encore, le gros problèmes de Windows avant windows 10 est la mise à jour une fois par mois, laissant les failles de sécurités découvertes à poil, bien que microsoft comblent les mises à jour les plus dangereuses directement.

    Mais encore une fois, Microsoft, au moins dans le passé, ne considérait pas les failles de sécurité locales comme dangereuses.

    Il « suffit » d’avoir un accès au réseau local de la cible pour profiter de ses failles et les exploiter.

  8. Aerya

    On peut en dire et penser ce qu’on veut de Tor tout comme on peut faire dire ce qu’on souhaite à des chiffres. Cet article n’est pas là pour promouvoir ni convaincre mais pour expliquer que pour certains Tor ce n’est pas pas un outil de DDoS ou un canal d’achat de weed ou d’échange d’images pédo-porno.

    Évidemment que Tor peut être utilisé à des fins malhonnêtes, tout comme :
    – I2P, Freenet et leurs cousins,
    – Toute connexion Internet,
    – Une voiture,
    – Un couteau,
    – Une corde et même un briquet.
    Et c’est pas pour autant que ça rend les outils/technologies malsains ou illégaux.

    Aussi bizarre que ça puisse sembler à certains il arrive que des gens qui ne vivent pas en dictature souhaitent tout de même préserver une partie de leur intimité numérique. Et Tor est un des outils permettant d’y arriver, en partie.
    C’est dingue que de nos jours on ne laisse plus de place au libre-arbitre et à la responsabilisation au profit de la régulation. Chacun doit pouvoir faire des choix dans la Vie sans que tout ne lui soit imposé.

    Sur ce, bon surf à tous 🙂 Aux paranos, comme aux coincés et aux autres.

    • nico

      Personnellement, je n’ai absolument rien contre Tor tel qu’il est.
      Simplement, Tor a des défauts qui peuvent être corrigés *sans aucune conséquence* pour ses avantages.
      Je n’ai pas de problèmes si quelqu’un me dit: « je préfère ne pas corriger Tor parce que j’aime avoir la possibilité de l’utiliser d’une manière qui est néfaste ».
      J’ai par contre un problème avec ceux qui disent: « si tu soulignes un défaut de Tor, c’est que tu es contre la liberté », suivi de tout les arguments clichés dits et redits qui pourtant sont totalement à côté de la plaque.

      Pour reprendre l’exemple des outils, la situation est comparable à quelqu’un présentant un revolver pour faire un trou dans le mur.
      La seule chose que je fais, c’est demander « euh ? mais pourquoi prenez vous un revolver ? ne pourriez vous pas prendre une foreuse, ce qui évitera les problèmes liées aux armes à feu, non ? ».
      Et je constate juste que chaque fois que je posais la question, on n’arrivait pas vraiment à me répondre.
      (la réponse « parce que je n’ai que le revolver sous la main, mais oui, ce serait beaucoup mieux si on me donnait une foreuse » est totalement valide à mon sens, mais bizarrement, je vois juste des gens essayer de justifier que le revolver reste mieux ou que les blessures par balles sont négligeables)

      • Aerya

        Je comprends bien ta position et la respecte même si je ne la partage pas.
        Pour moi le principe de Tor étant de justement anonymiser les échanges, le fait qu’il fonctionne sans aucune censure n’est que la résultante de son objectif et non un défaut.

        Le fond du problème n’est finalement que lié à l’Homme et non à l’outil. Le constat que donner des libertés à certains les incite, ou leur permet, d’avoir des comportements déviants ou inappropriés n’est qu’une question de responsabilité et de morale propre à chacun. Pour moi l’outil n’est pas à blâmer. Et si je te comprends bien, tu partages ce point de vue.
        Et c’est pour cette raison que tu suggères que brider un peu l’outil ne serait que bénéfique par rapport à ces comportements. Par là je vise directement ce que, je suppose, personne ne peut cautionner à savoir pédo etc.

        Le problème de ce raisonnement est que réduire la liberté offerte par Tor « pourrait » dans certains cas impacter également les personnes qui l’utilisent pour des raisons on va dire « éthiquement valables ». Comme par exemple des opposants à un régime totalitariste ou des journalistes.

        Pour moi on en revient au libre-arbitre. Ce ne sont pas les exemples qui manquent dans la vie de tous les jours d’utilisation détournée/frauduleuse/dangereuse d’objets/outils anodins pour la majorité d’entre-nous. Et je pense que ces actions s’inscrivent dans une logique de « Liberté » avec tout ce que ça comporte de bien ou de mal. Selon les personnes, les cultures, les gouvernements etc.

        Je pense qu’il faut également appuyer sur un point important et faire tomber le mythe du « j’utilise Tor donc je suis intouchable ». C’est faux. Préserver son intimité numérique, ou une partie, passe par bien plus qu’utiliser Tor. C’est une hygiène informatique complète et contraignante que peu de personnes s’infligent. Tor reste pratique pour éviter des censures DNS basiques ou ne pas laisser ton IP personnelle n’importe où.
        Quand aux « méchants » qui se sentent en sécurité grâce (uniquement) à cet outil là encore c’est un mythe. Que ce soit via des failles du protocole, de réseau global, des machines ou de l’interface chaise-clavier, certains se font prendre.

        • nico

          > le fait qu’il fonctionne sans aucune censure n’est que la résultante de son objectif et non un défaut.

          Qu’appelles-tu « censure » ?
          Est-ce que pouvoir déclencher des actions qui sont la conséquence d’un appel au meurtre, d’une négociation commerciale d’un produit affectant la liberté d’autrui (drogue, arme, contrat d’assassinat, …), d’une discussion entre un politicien et un industriel, … sont des censures ?
          Le mot « censure » est utilisé car il est idéologiquement chargé comme un acte négatif.
          Les exemples que j’ai pris ici sont extrême, mais le mot « censure » est tout aussi extrême, et un tel discours ne vaut pas plus que ceux qui sont condamnés quand ils sont caricaturaux mais à l’encontre de Tor.

          Notons aussi que censurer, c’est empêcher l’action, la couvrir pour qu’elle ne soit pas entendue, alors qu’ici, ce que j’ai en tête, c’est de permettre de répondre des conséquences de son action.

          Parenthèse théorique:

          Une action a des conséquences sur le reste de la communauté. Ce n’est pas qu’un choix individuel.
          Les réponses à ces conséquences peuvent être décidées de manière démocratique. Par exemple, si je crée une petite communauté et que nous décidons que chacun a droit à sa vie privée, s’il existe un canal de communication totalement anonyme, alors, quelqu’un pourra diffuser la vie privée d’un autre sur ce canal, sans que personne dans la communauté puisse réagir. Peut-être que celui qui a diffusé l’information est gentil, là n’est pas la question. Le problème, c’est le fait que la personne qui a diffusé a pu faire son choix sans se soucier de la décision démocratique.

          En d’autres termes sur cet aspect: la démocratie implique que certains membres de la société n’ont pas envie de suivre les règles obtenues par la démocratie (sinon, pas besoin de démocratie, vu que tout le monde fait déjà ce que tout le monde finira par voter). Cela ne veut pas dire qu’il faut éliminer ces membres rebelles, mais qu’il faut trouver un équilibre, où les règles sont constamment discutées, remises en question, et où on décide au cas par cas de quels sont les conséquences. Dire « celui qui ne suit pas les règles est automatiquement pardonné », c’est tout aussi grave que de dire « celui qui ne suit pas les règles est automatiquement exécuté » (car celui qui ne suit pas les règles peut très bien dire: « je ne suis pas les règles, à partir de maintenant, tout ceux qui feront X je les exécute automatiquement »). Dans les deux cas, on n’a plus une décision collégiale, mais on ne fait que subir les conséquences d’une décision prise par un et un seul membre de la communauté.

          Donc, au final, la « liberté » tel que tu la défends, c’est un peu la fin de la démocratie.

          Fin de la parenthèse théorique

          > Le constat que donner des libertés à certains les incite, ou leur permet, d’avoir des comportements déviants ou inappropriés n’est qu’une question de responsabilité et de morale propre à chacun.

          Le fait que certains ont des comportements déviants est juste un fait avec lequel il faut savoir vivre. Dans une société parfaite imaginée par un enfant de 7 ans, tout le monde se met d’accord et vit en harmonie. Dans une société plus réelle, il y a des idéaux irréconciliables, et il faut trouver un moyen de vivre avec ça. Une solution, c’est le dialogue. Mais l’anonymat permet d’échapper à ce dialogue: on fait ce qu’on veut, les autres n’ont qu’à subir les conséquences.

          Ce n’est pas une question de responsabilités. Il n’est pas irresponsable de ne pas avoir la même opinion que son voisin. C’est une question d’intelligence: si tu as le droit d’avoir ton avis, ton voisin a le droit d’avoir le sien, et aucun de vous deux n’a le droit d’imposer son avis.

          Je suis conscient qu’aujourd’hui certains « avis » sont imposés. Mais en choisissant de lutter contre ça en mettant en place un système où on peut imposer son propre avis, on ne fait que légitimer le fait qu’imposer son avis est une bonne solution.

          > Le problème de ce raisonnement est que réduire la liberté offerte par Tor « pourrait » dans certains cas impacter également les personnes qui l’utilisent pour des raisons on va dire « éthiquement valables ».

          C’est la question que je pose: quels sont ces fameux cas où les restrictions que je propose ont réellement un impact sur les cas éthiquement valables ?
          Chaque fois qu’on m’en a proposé un, la parade n’était pas plus compliquée que l’usage de Tor, tout en évitant les problèmes de Tor (car dans mes solutions, on choisit les communications qui sont acceptées), et les objections qu’on me proposait ensuite étaient en général tout aussi applicable à Tor.
          À un moment, il faut faire le bilan: si on a d’un côté Tor qui permet de faire 100 choses biens et 10 choses pas bien, et de l’autre un autre outil qui permet de faire 99 choses biens et 1 chose pas bien, est-ce réellement pertinent de défendre le premier à tout prix ?
          D’autant plus que les choses pas bien ont aussi des conséquences sur les êtres humains. Imaginons un dissidents politiques qui utilisent Tor tandis que le même gouvernement qu’il critique utilise Tor pour vendre des produits illégaux ce qui lui permet de payer pour consolider son régime et finalement traquer plus efficacement les dissidents.
          C’est un exemple bidon, mais cela montre que les calculs d’apothicaires « il y a plus de bien que de pas bien » ne sont pas forcément pertinent (dans les deux sens: y compris quand c’est pour critiquer Tor).

          > Je pense qu’il faut également appuyer sur un point important et faire tomber le mythe du « j’utilise Tor donc je suis intouchable ». C’est faux.

          Totalement exact. Et c’est vrai pour les « méchants » ET pour les « gentils ». Comme je le disais, techniquement, il n’y a aucune différence entre quelqu’un qui utilise Tor pour se cacher d’un mauvais gouvernement et quelqu’un qui utilise Tor pour se cacher d’un bon gouvernement.
          En disant que le mal fait par Tor est un mythe parce qu’un gouvernement arrivera de toutes façons à arrêter les méchants, on dit à la fois que le bien fait par Tor est un mythe.

          J’ai utilisé une approximation en disant « cela permet de faire X ou Y anonymement », la réalité est en fait plus complexe. Mais la situation est symétrique: si Tor aide à avancer d’un pas vers un monde où les dissidents échappent à l’oppression, alors, on est obligé de reconnaitre que Tor aide à avancer d’un pas vers un monde où les trafics néfastes échappent aux contrôles.

  9. jvoisin

    @nico Je serai très curieux de lire une proposition d’implémentation de censure « sans aucune conséquence ». Comment tu décides ce qui est malveillant/illégal de ce qui ne l’est pas ? Le fait d’être homosexuel, c’est illégal ? Comment tu forces les opérateurs de relais à déployer ce genre de choses ? Tor est un logiciel libre, bonne chance pour empêcher les gens de le modifier pour contourner ta censure. Comment est-ce que tu comptes implémenter ça ? Le projet Tor n’a pas de développeurs « en trop » à allouer à ton idée. Ni pour écrire un papier là-dessus. D’ailleurs, si tu as un papier de recherche à ce sujet, je serais ravi de le lire. En attendant, ton idée de « censure bienveillante », c’est du même niveau que les vociférations réclamant des frontdoor/backdoor cryptographiques : une chimère.

    • nico

      > Comment tu décides ce qui est malveillant/illégal de ce qui ne l’est pas ?

      Cela fait partie des questions qui me fait peur à l’égard des défenseurs de Tor. Cette question souligne un vrai manque de réflexion sur le sujet.
      Je vais développer et arriver ensuite à répondre à la question précédente, à savoir un exemple (sans doute parmi d’autres) d’implémentation « sans conséquence ».

      Qu’est-ce qui est malveillant/illégal, ou, plus basiquement « pas bien » ?
      Comment réponds-tu toi-même à la question ?
      Par exemple, est-ce que les pratiques de Microsoft lorsqu’il impose ses outils sont « pas bien » ?
      Est-ce que le prolongement de l’état d’urgence en France n’est « pas bien » ?
      Puisque tu n’es pas plus capable de juger de ça que du fait que l’homosexualité est bien ou pas bien, si on suit ta conclusion, cela veut dire que tu te refuses de t’opposer à ces choses.

      Voici comment moi je réagis face à ces choses:
      Quand je suis en situation où je peux acheter un produit Microsoft, je le boycotte. Quand l’école de mes enfants se dirige vers un partenariat avec Microsoft, je réagis, en discutant avec les profs, en envoyant des lettres, en discutant avec la direction, et éventuellement en changeant d’école.
      Quand l’état d’urgence est prolongé, je manifeste, j’envoie des lettres, je soutiens les actions qui s’oppose à cela.

      C’est simplement ce que je propose de faire avec Tor.
      Lorsqu’on crée un réseau, on peut avoir le choix de refuser d’y voir ceux qu’on ne veut pas y voir (cf. xkcd 1357). On peut aussi créer un système tel qu’on ne puisse pas faire cela.
      Ce que je propose, c’est simplement ajouter cette possibilité. La possibilité pour Framasoft de maintenant un nœud en sachant (en contrôlant) que les activités qui s’y déroulent sont saines.
      Cela court-circuite le « problème » de l’homosexuel: le protocole peut permettre de créer un réseau « l’homosexualité est le mal », mais les homosexuels pourront tout aussi facilement aller sur le réseau d’a côté où l’homosexualité est ok. Et ainsi, il y aura des réseaux ayant des activités clairement néfastes. Mais au moins, moi, je sais que quand je soutiens financièrement ou techniquement le réseau de mon choix, je ne maintiens pas ce réseau. Cela veut aussi dire que s’engager dans le soutient de ce réseau qui permet les activités néfastes, c’est prendre position sur le fait qu’on veut voir ces activités néfastes continuer, et donc qu’on accepte les conséquences de cette responsabilité.
      Cela court-circuite le « problème » du logiciel libre: peu importe si tu modifies le logiciel, si on rentre par le réseau et qu’on arrive à faire une activité exclue par la charte, c’est qu’il y a une mauvaise pomme (qui peut être identifiée au pire par recoupement) (par ailleurs, la construction aléatoire de la chaîne fait que l’existence d’une mauvaise pomme ne va permettre un usage néfaste que dans les rares cas où la mauvaise pomme est inclue dans la chaîne, ce qui est assez inefficace).

      Au niveau de l’implémentation:

      1) Je n’ai AUCUN problème avec la réponse: « nous n’avons pas les moyens de faire un tel truc ».
      Par contre, j’ai un problème avec « nous n’avons pas les moyens de faire un tel truc, donc, ce que le défaut que tu décris n’existe pas et nous ne pouvons absolument pas être critiqué sur ce point ».
      Par exemple, si je dis que Debian n’est pas user-friendly, on me répond simplement que ce n’est pas son but, qu’il y a d’autres solutions pour ça. On ne me répond pas: « c’est pas vrai, c’est super-user-friendly et d’ailleurs, s’il y a quelque chose qui te dérange, c’est qu’il n’y a pas les développeurs pour faire ça ».
      (p-e que certains imbéciles me répondent pas, ce ne sont certainement pas les membres qui participent le plus à la bonne réputation de Debian).
      Je n’ai pas de problème avec « oui, Tor permet l’anonymat, avec ses avantages ET ses défauts, et effectivement, on crée cet outil et donc, on peut nous reprocher de créer un outil avec les défauts cités ».

      2) d’un point de vue technique, ce serait fastidieux (et inutile: quoi que je dise, ce sera « impossible » de toutes façons) de détailler comment faire. Mais pendant ce temps-là, les transactions bitcoins sont traçables, sans pour autant que leur propriétaire soit identifié. Tor lui-même contient une floppée de rustine compliquée pour pallier à certains problèmes. C’est étrange qu’une nouvelle rustine soit soudainement « impossible ».
      (par ailleurs, les arguments que je reçois sont souvent très faibles: je trouve un moyen d’éviter le défaut en 2-3 minutes. Soit mon interlocuteur est un idiot, soit il s’est réellement arrêté à la première critique qu’il pouvait trouver car son but n’est pas le dialogue et la réflexion, mais défendre à tout prix sa croyance)

      Alors, oui, l’implémentation n’existe pas. Mais de nouveau, l’implémentation d’un Debian user-friendly n’existe pas non plus. Est-ce que ça veut dire que dire que Debian n’est pas user-friendly ou proposer des pistes de réflexions pour améliorer l’aspect user-friendly doivent être sévèrement critiqué et jeté aux orties ? N’est-ce pas justement parce qu’il y a eu ces réflexions que Ubuntu est apparu ?

      • giome

        @nico:
        Je viens de lire les échanges que tu as eu avec @Lunar, @Aerya et @jvoisin, et je comprends qu’ils aient arrêté de te répondre. Tu t’es acharné à répondre sur la forme de leur argumentaire, mais pas sur le fond.

        Comme @jvoisin l’a bien écrit avant moi, et sans même réfléchir au bien fondé de cette fonctionnalité, comment implémentes-tu concrètement une censure des noeuds « malveillants » ? Explique nous ne serait-ce qu’un début de réflexion détaillée sur le sujet ? Ou un lien vers une publication scientifique ?

        Dans tout développement de logiciel libre, la critique et le débat sont indispensables pour améliorer ce qui existe. Cependant :

        1. Ce n’est pas parce que tu très envie de quelque chose, que cette chose en devient réalisable.
        2. Si tu ne sais pas résoudre un problème, n’accuses pas les autres de ne pas le résoudre à ta place.

        • nico

          Je ne comprends pas l’objection.

          L’association Nos Oignons a pour but de mettre sur pied des nœuds de sortie.
          Ce que je propose, c’est qu’ils signent une charte disant: pour ces nœuds de sortie, on va faire les choses suivantes:
          – on va soit bloquer l’email (les solutions pour des emails sécurisés fonctionnent mieux hors de Tor. Pire, utiliser Tor pour les emails donne une fausse impression de sécurité) soit utiliser spamassassin (ou des méthodes similaires) pour réduire le spam.
          – on va bloquer les url qui ont l’air d’être des injections de code. Pour les rares cas où une url contenant du code est nécessaire, c’est un défaut du site lui-même, et au pire des cas, l’utilisateur peut ne pas utiliser Tor pour ce cas particulier.
          – on va bloquer les url vers des sites reconnus comme malfaisants

          Cela ne va pas arrêter l’existence des sites / méthodes exclus, on ne peut donc pas parler de censure.
          Cela ne va pas non plus empêcher les gens d’utiliser internet (voire un autre réseau Tor si c’est vraiment nécessaire), d’autant plus que les cas où ces limitations sont gênantes sont soit dans des cas où je n’ai pas besoin de Tor (si tu veux, par exemple, tester ton site avec plusieurs IP, tu n’as pas besoin d’être anonyme), soit où c’est un usage critiquable. On ne peut donc pas parler de violation de la neutralité du net.
          Mais simplement, si je donne de l’argent à Nos Oignons, je sais que l’infrastructure payée par cet argent ne sera pas utilisée à des fins que je désapprouve personnellement.

          (et, si je le souhaite, je peux tenter d’utiliser une connexion tor sur un de mes sites (et donc récupérer l’IP du nœud de sortie) et ensuite tester si la chaîne accepte ou non de faire des choses qui sont exclues par la charte)

  10. Cheval DeTroie

    Bonjour,
    Sans vouloir vexer quiconque, j’ai l’impression que cet article a omis un point fondamental à propos de « Tor ».
    Le « Darknet » s’est à l’origine construit autour d’un noyau de logiciel comme « Tor », à l’image d’un « hôte » qui a retiré la notion fondamentale de l’anonymat vivant autour des relations « F2F » pour la remplacer par un « masque d’anonymisation ». Le caractère « Amical » des relations « F2F » est aujourd’hui absorbé voire confondu par ce « masque »…

    Tous les projets Tor confondus ne défendent pas l’anonymat, mais seulement un « masque d’anonymisation » superposé à la toile…

    L’anonymat est nécessaire pour se préserver des violations de notre vie privée en tout genre, et surtout du mécanisme sociétal numérisé plus communément appelé « Big Data » !

    • nico

      L’anonymat est nécessaire pour préserver notre mode de vie, et ce que nous faisons en privé.

  11. Cheval De Troie

    Bonjour,
    Effectivement, l’Anonymat est plus que nécessaire, c’est un droit fondamental inscrit dans les Droits de l’Homme et des Citoyens !

    Extrait d’un article intitulé « « Live USB Tails », se protéger des « robots scanners » et de l’espionnage massif sur le Web! » que je vous invite à lire:

     » Le droit à l’anonymat est un droit fondamental inscrit dans les Droits de l’Homme et des Citoyens « Tout ce qui n’est pas défendu par la Loi ne peut être empêché, et nul ne peut être contraint à faire ce qu’elle n’ordonne pas. ». Les nombreuses tensions entre les politiques gouvernementales et les grandes firmes numériques à travers le monde reflètent aujourd’hui les énormes enjeux économiques, financiers et sociaux tendant à réduire voire supprimer le champ de ce droit fondamental. Le Droit à l’Anonymat est-il en danger ou déjà compromis ?  »

    Source article: http://www.leblogduhacker.fr/live-usb-tails-se-proteger-des-robots-scanners-et-de-lespionnage-massif-sur-le-web/

    • nico

      Je n’ai pas vu de référence à l’anonymat dans la déclaration des Droits de l’Homme et _du_ Citoyen, ni dans la Déclaration Universelle des Droits de l’Homme.

      Rappelons aussi que, par exemple, la liberté d’expression est définie comme un droit fondamental, mais cette liberté est elle-même définie dans le texte et dont les bornes sont définies par la loi.
      C’est une erreur de re-définir soi-même ce droit fondamental en fonction de ce qui nous arrange et en inventant des éléments qui n’existe pas, tel que par exemple prétendre que toute expression est par conséquent forcément légale et impossible à interdire.

      Je me méfie des politiciens quand ils parlent d’informatique, mais il faut avouer que les informaticiens, quand ils parlent de politique, de législation ou de sociologie, sont 100x pire et inventent des stupidités grosses comme des maisons tout en se persuadant être meilleur que les politiciens.
      Du coup, je ne peux prendre un tel extrait que comme il est réellement: a priori, il n’est pas plus digne de confiance que n’importe quelle déclaration d’un politicien à propos des pare-feux dans les suites bureautiques.

  12. Eric

    salut un très bon tutoriel Goofy
    Tor, et plus généralement les logiciels permettant de protéger ses communications électroniques, servent à tout le monde. Ce n’est pas parce qu’Internet permet habituellement de connaître l’origine d’une communication qu’il faut profiter de ce détail technique pour mettre tout le monde sous surveillance. Tor permet tout simplement de continuer à utiliser Internet sans être a priori coupable.
    Les « méchants » n’ont attendu ni Internet ni Tor pour disposer de moyens de communication. D’ailleurs, ils disposent des ressources nécessaires pour mettre en place leurs propres réseaux de communication (par exemple en piratant des milliers de machines pour héberger des contenus illégaux dans la plupart des juridictions).
    L’utilisation de Tor est gratuite pour qui dispose d’un ordinateur et d’une connexion Internet. Cela le rend donc accessible à des personnes n’ayant que très peu de ressources. Cependant ,j’ai seulement une question :j’ai trouvé cette vidéo sur youtube ( https://www.youtube.com/watch?v=Tt5DrJKRSFQ ) qui explique de manière différente pour accéder au deepweeb et je veux savoir si cette méthode est fiable?
    salutations.