Quand j'ai expliqué les mythes entourant Tor dans mon dernier message, j'ai réalisé qu'en plus des mythes flagrants sur le protocole, des suggestions inexactes sur la façon d'utiliser Tor correctement sont omniprésentes. Cela inclut souvent des conseils inquiétants sur la connexion à Tor via des services VPN, des proxies, ou d'autres systèmes d'anonymat. Dans cette partie de la série "Trancher des oignons", je vais donc essayer de clarifier pourquoi vous ne devriez pas combiner Tor avec de tels réseaux et techniques et souligner les conséquences négatives si vous le faites.
Comment fonctionne cette technologie
Pour illustrer pourquoi la combinaison de Tor avec d'autres services est sous-optimale, voici un résumé du fonctionnement de Tor, des VPNs et des proxies. Ceux qui lisent le premier blog de la série ou qui sont familiers avec les protocoles peuvent sauter ce passage.
Tor
Tor fonctionne en envoyant votre trafic à travers un réseau de nœuds gérés volontairement (aussi appelés "serveurs" et "relais") qui font rebondir votre trafic autour de trois nœuds aléatoires répartis sur le globe, par exemple un site web, avant de rejoindre sa destination finale. Voir ci-dessous pour une visualisation simple :
Pour protéger votre trafic, Tor chiffrera vos paquets trois fois. Chaque nœud n'a que la clé pour enlever son propre couche. Une fois qu'un nœud enlève sa couche de chiffrement, il sera en mesure de voir quel nœud les paquets doivent passer au suivant, et cela continue jusqu'à ce que votre trafic soit déchiffré au dernier nœud, qui le redirige vers sa destination finale. Le processus inverse exact se produit pour le trafic de retour, comme le montre le graphique ci-dessous :
Alors, qu'est-ce qu'on apprend de tout ça ? Eh bien, nous apprenons que Tor nous permet de nous connecter à un site web sans qu'une seule personne ne connaisse le chemin entier. Le premier nœud sait qui vous êtes, mais pas où vous allez ; le deuxième nœud ne sait pas qui vous êtes OU où vous allez ; et le dernier nœud sait où vous allez, mais pas qui vous êtes.
Comme le dernier nœud établit la connexion, le site Web de destination ne saura jamais qui vous êtes (l'adresse IP du périphérique d'origine).
Les proxies
Un proxy est un serveur qui sert d'intermédiaire pour les requêtes de votre appareil vers d'autres appareils ou services (sites Web, etc.). Un mandataire anonyme ne transmettra pas votre adresse électronique au site de destination, de sorte qu'il puisse protéger votre vie privée. Il sera toujours possible pour le propriétaire du proxy de savoir à la fois d'où vous vous connectez (votre adresse IP) et à quoi vous vous connectez (le site Web/serveur de destination). Les proxy ne protègent pas nécessairement votre trafic avec le chiffrage SSL/TLS, donc si vous ne vous connectez pas à la destination via HTTPS, ils peuvent aussi voir votre contenu.
Il s'agit d'un simple serveur proxy sans chiffrement :
Services VPN
Strictement un VPN (Virtual Private Network) est l'extension d'un réseau privé à travers un réseau public. Le meilleur exemple est la connexion à un réseau d'entreprise via Internet pour accéder aux applications et aux fichiers sur votre lieu de travail. Les VPN sont chiffrés pour protéger le contenu du réseau privé afin qu'il ne soit pas accessible en dehors du VPN.
Les services VPN que nous pouvons utiliser en tant que consommateurs sont un peu différents. Il ne s'agit en fait que de groupes de proxy chiffrés parmi lesquels nous pouvons choisir au lieu de nous connecter directement aux sites de destination. Ceci cache votre adresse IP du site de destination comme décrit ci-dessus, et le chiffrement cache votre contenu et votre destination de votre réseau local et de votre FAI (n'importe quoi entre votre appareil et le serveur de votre fournisseur VPN).
Les VPN souffrent de la même faiblesse que les serveurs proxy, en ce sens que le fournisseur VPN connaîtra toujours votre adresse IP et votre destination et que le HTTPS est toujours nécessaire pour leur cacher votre contenu.
Voici un serveur VPN en action, notez que la connexion entre vous et le serveur VPN est chiffrée, mais pas la connexion à partir de là vers la destination :
Le problème de la confiance centralisée
Maintenant que nous comprenons comment ces technologies fonctionnent, je vais expliquer pourquoi les deux dernières sont problématiques dans le contexte de l'anonymat. Avec les VPN et les proxies, l'ensemble du chemin est connu du fournisseur du service. Par conséquent, votre anonymat n'est aussi fort que ce que promettent les fournisseurs.
Imaginez laisser quelqu'un que vous ne connaissez pas mettre une arme sur votre tête et être d'accord avec cela, parce que pour 5 $ par mois, ils promettent de ne pas appuyer sur la détente. Ce serait dingue, n'est-ce pas ? Et si quelqu'un d'autre leur offre 500 $ pour rompre leur promesse ? $5000 ? $5000000 ?
Avec Tor, le chemin entier ne sera jamais connu, et l'utilisateur sera en sécurité ; la confiance est répartie sur tous les nœuds que vous utilisez. C'est comme si on donnait le fusil à une personne, la balle à une autre, qu'on laissait la troisième tenir un poulet en plastique sur sa tête et qu'on ne payait aucun d'eux en espèces !
Un autre avantage de Tor est qu'avec plus de 6000 noeuds répartis dans le monde entier, regarder tout le trafic entrant et sortant est beaucoup plus difficile et plus cher que regarder les serveurs d'un fournisseur VPN (la plupart ont des dizaines ou des centaines). Si votre modèle de menace inclut des adversaires capables qui travaillent pour vous désanonymiser, Tor rendra cela beaucoup moins probable.
Pourquoi 3 vaut mieux que 1
Maintenant que vous comprenez le problème, vous devriez commencer à comprendre pourquoi un VPN n'est pas une option pour l'anonymat. Cela peut rendre le suivi plus difficile, mais vous devez quand même faire confiance à une partie tierce. Avec Tor, vous n'avez pas besoin de faire confiance à une seule personne. Expliquons le pour et le contre :
Tor :
Pour :
Cache votre adresse IP ; chiffre le trafic, empêchant l'espionnage du réseau local ou du FAI ; et lors de l'utilisation du navigateur Tor, sépare intelligemment les flux pour éviter la corrélation du trafic ; gratuit à utiliser, ce qui est un double avantage car il ne laisse aucune trace financière ; facile à utiliser avec une simple application sur Android ou tout OS de bureau ; la plupart des censures peuvent être contournées par des ponts ; assez rapide pour regarder des vidéos 720p, parfois 1080p (de nos jours).
Contre :
La vitesse est souvent plus lente qu'un VPN à un seul point d'accès car elle dépend des 3 nœuds de votre circuit actuel et ne va probablement pas jouer la vidéo 4k ; certains services bloquent les nœuds Tor dans une tentative malavisée de refuser l'accès aux mauvais utilisateurs, le rafraichissant de votre circuit pourrait trouver un nœud déchiffré ; les nœuds de sortie pourraient surveiller la transmission http ; la diffusion de Tor va être ralentie et fortement découragée car cela endommage Tor et détruit son anonymat ; aucune assistance UDP (cela s'avère indispensable pour les communications VoIP).
VPN :
Pour :
Généralement rapide et à faible latence ; la plupart sont faciles à utiliser avec des applications pour n'importe quel système d'exploitation ; cache votre adresse IP et chiffre le trafic vers le serveur VPN, empêchant le réseau local ou le furetage par les FAI ; généralement suffisamment rapide pour regarder des vidéos 4k haute résolution ; torrent fonctionne ; UDP est possible.
Contre :
Une confiance absolue placée dans un seul fournisseur est un point de défaillance. Votre fournisseur VPN peut voir qui vous êtes et où vous allez, et quand vous n'utilisez pas HTTPS, le contenu de votre trafic ; laisse une traçabilité financière à moins d'être payé en espèces ou par crypto-monnaie ; le fournisseur voit votre adresse IP réelle et pourrait être forcé par les autorités locales, en coopération, à remettre les données à un serveur VPN pour les pirater, de les extraire toutes l'anonymat dépend des politiques et la sécurité du même serveur.
Pourquoi 2 ne vaut pas mieux que 1
Le pire conseil que je vois souvent est d'utiliser à la fois Tor et un VPN. Tor n'est pas destiné à être utilisé avec VPN ou en combinaison avec d'autres services. Je ne vous recommande absolument pas d'utiliser Tor avec un VPN. Ce faisant, vous créez essentiellement un nœud d'entrée ou de sortie permanent, qui possède souvent aussi une traçabilité financière. Vous créez également plus de surface d'attaque pour un bénéfice théorique quasi nul. Deux configurations sont couramment proposées :
Tor avec VPN :
Ici un utilisateur se connectera d'abord au serveur VPN, puis se connectera à Tor.
La raison la plus commune derrière cette configuration est de cacher l'utilisation de Tor à un FAI ou de contourner la censure du réseau Tor. Ceci n'est pas nécessaire car vous pouvez cacher l'utilisation de Tor et contourner la censure en utilisant des ponts. Vous pouvez soit utiliser les ponts qui sont inclus dans le navigateur Tor pour cela, soit demander d'autres ponts de l'une des manières décrites ici. Un avantage supplémentaire des ponts est qu'ils ne laissent pas de piste financière, ce que font souvent les VPNs. Le dernier billet expliquait que même si vous deviez finir sur une liste de surveillance, ce serait une liste inutile car Tor a plus de 2 millions d'utilisateurs quotidiens. Il me semble très naïf d'imaginer que quelqu'un assez puissant pour vous tracer sur le réseau Tor sera arrêté par un service VPN à 5$ par mois.
VPN avec Tor :
Ici un utilisateur établira d'abord une connexion au réseau Tor avant de se connecter au service VPN. Le but est d'atteindre les services qui bloquent les nœuds Tor. Ce dispositif peut réussir à faciliter l'accès à ces services, mais il est terrible pour l'anonymat pour deux raisons : Les fournisseurs de VPN connaissent souvent de la trace de vos fonds ; et Tor divise tous les flux de données sur différents circuits pour empêcher la corrélation du trafic comme un moyen de désanonymiser les utilisateurs, mais tout votre trafic viendra de l'IP du fournisseur VPN, rendant la corrélation beaucoup plus aisée.
Conclusion :
Comme vous pouvez le voir, dans la grande majorité des cas où un VPN pourrait être utilisé, Tor suffirait aisément. Non seulement son utilisation est gratuite, mais il vous permet également de naviguer de manière anonyme. C'est impossible avec un service VPN par nature. Un VPN est la vie privée régie par les conditions d'utilisations, Tor c' est la vie privée par nature. Cela ne veut pas dire que les VPN sont complètement inutiles ; ils protègent votre adresse IP des sites Web que vous visitez ; ils vous protègent des intrus du réseau local et vous permettent également de regarder des séquences en 4k.
En général, vous devriez utiliser Tor si l'anonymat et la confidentialité sont vos objectifs, ou si vous voulez simplement aider à améliorer la disponibilité de l'anonymat pour ceux qui en ont besoin et rendre la surveillance de masse plus difficile. Mais il y a plus à prendre en compte : votre adresse IP n'est qu'une des nombreuses façons dont vous pouvez être suivi. Une autre menace se présente sous la forme d'une empreinte digitale de navigateur, qui est le sujet de mon prochain billet de blog : (Oignons coupés en rondelles : partie 3 - Ne laissez pas vos empreintes digitales !).
par : blacklight447
sauce :
https://write.privacytools.io/my-thoughts-on-security/slicing-onions-part-2-onion-recipes-vpn-not-required