Tor, qu’est ce que c’est ?

Tor est un logiciel destiné à masquer son adresse IP ou plutôt à la noyer dans la masse. Nous reprenons ici la description présente dans Le guide d’autodéfense numérique sur le site guide.boum.org

Tor signifie The Onion Router, c’est-à-dire « le routage en oignon ». Il s’agit d’un logiciel libre et d’un réseau public qui aide à réduire les conséquences d’une analyse de trafic réseau. Il fait transiter les communications au sein d’un réseau distribué de relais, aussi appelés nœuds, hébergés par des volontaires partout dans le monde. C’est comme utiliser un chemin tortueux et difficile à suivre pour semer un poursuivant, tout en effaçant ses traces à chaque changement de direction. Au lieu d’emprunter un itinéraire direct entre la source et la destination, les paquets de données suivent une trajectoire aléatoire à travers plusieurs relais. Un adversaire ne peut donc pas, en observant un seul point, associer la source et le destinataire.

Vous pouvez visualiser les interceptions possibles de vos données quand vous utilisez Tor, Https, Tor et Https, ou encore rien du tout en cliquant sur les boutons :

>

Illustration : « Tor and Https » - CC0 - by Lunar / The Tor Project / EFF.

Création d’un circuit
L’idée, c’est que lorsqu’Alice veut se connecter à exemple.org en utilisant Tor, son ordinateur commence par établir un circuit Tor.

Pour cela, il récupère une liste des nœuds Tor disponibles auprès d’un annuaire :

Il choisit ensuite un premier relai parmi la liste des relais disponibles, puis établit une connexion à celui-ci. À partir de ce premier relai, il établit une connexion avec un second relai. Enfin, d’après sa liste de nœuds, Tor choisit un nœud de sortie et établit une connexion entre le second relai et ce nœud. Cet ensemble de trois relais constitue ce qu’on appelle un circuit Tor. Dès le début de cette phase d’établissement du circuit Tor, toutes les communications sont chiffrées.
Utilisation du circuit

Ensuite, les données transiteront successivement par ces trois relais avant d’atteindre le serveur de destination (ici exemple.org). La réponse du serveur suivra le même chemin, dans le sens inverse.

Quelques idées reçues :

Tor, c’est vraiment trop lent
C’était le cas il y a quelques années. Quiconque a travaillé sur Tor durant les années 2009-2012 peut témoigner de l’évolution notable de l’outil d’anonymat. Le web sous Tor est fluide sur la plupart des sites. Même si en effet il reste difficile de voir un match de foot en streaming sur Tor, il est possible d’aller sur YouTube, d’écouter du son, de télécharger des programmes… Bref, l’usage du web 2.0 est parfaitement optimisé.

Tor c’est un truc de geek
Malheureusement encore trop. Et pourtant, l’utilisation est très simple, semblable à n’importe quel navigateur web. Il s’installe en moins de 5 minutes et se lance facilement.

Utiliser Tor ? Je n’ai rien à me reprocher moi

Erreur ! D’abord il est tout à fait conseillé d’utiliser Tor lors de ses transactions web, pour consulter ses données bancaires ou d’autres données sensibles contre les pirates du net. Ensuite, on a tous quelque chose à se reprocher au vu des exigences de l’État et des dernières lois de renseignements votées par nos amis les député·e·s. Les lois changent vite, et certaines sont rétroactives. Qui nous dit que bientôt, la lecture de site tel que celui que vous lisez en ce moment même ne sera pas criminalisée ? Dans ce cas-là, il y aura une nécessité à ce que les flics du futur ne connaissent pas l’intégralité de vos lectures favorites.
Enfin, utiliser Tor peut être considéré comme un vaccin. Plus on l’utilise de manière massive, plus on noie le trafic et ainsi on protège les personnes qui ont réellement des choses à cacher (les journalistes iraniens, les militants des droits de l’homme chinois ou russes, les révolutionnaires de tous les pays)…
Tor ne permet pas uniquement l’anonymisation de l’adresse IP, mais inclut un certain nombre de mesures empêchant le data-flicage.

Tor, ça attire encore plus les flics
Souvent on entend dire « ah, mais Tor, c’est archi surveillé, c’est encore plus louche d’y aller ». C’est peut-être louche, mais en tout cas le web traditionnel est complètement transparent. Dans la loi française, il est possible de demander à un site les connexions à ce dernier sur 1 an. Votre IP, liée à votre adresse personnelle, vous rend donc à la merci de n’importe quelle requête judiciaire (et on ne parle pas des services de renseignements).

Tor, c’est pas secure. La NSA, le Mossad, Gérard Collomb…
Il s’agit d’un logiciel, développé depuis longtemps, de manière rigoureuse, mais il est clair que comme toutes pratiques d’internet, il ne s’agit pas d’un outil miracle. Certaines failles ont été trouvées récemment, mais rien ne permet d’affirmer que ces failles ont pu être exploitées. Les mises à jour sont fréquentes et un nouveau système Tor, encore plus protégé est en cours de déploiement. On ne peut pas exclure que la NSA ou les services secrets de tous ordres disposent d’une partie des « noeuds » et zieute le trafic sur Tor, mais le système Tor a été construit pour les prendre en compte : des nœuds « sûrs » sont là pour empêcher une désanonymisation. Y a qu’à voir les services secrets proposer de précieuses primes pour la découverte de failles sur Tor pour comprendre qu’ils se cassent les dents dessus.

Mais surtout, Tor ne vous protégera pas si votre ordinateur est infecté et directement vérolé par des outils de surveillance (Keylogger, virus qui « sniffent » tout…) [1]

Installer et utiliser Tor

Allez sur la page officielle de téléchargement sur Tor Project. Vous y trouverez un gros bouton « Download » (télécharger). Cliquez dessus et installez le logiciel comme un simple navigateur (comme Chrome ou Firefox).

Une fois installée, la navigation peut se dérouler simplement. Il convient toutefois d’expliquer deux ou trois choses :

• Tor est un réseau mondial et la plupart du temps, le nœud de sortie n’est pas en France. Vous arriverez donc parfois sur des pages traduites en russe ou en allemand. La majorité des pages sera en anglais l’immense majorité des nœuds Tor étant situés dans le monde anglo-saxon. Par contre certains sites comme les chaînes de télé comportent une restriction géographique à certains contenus et il ne sera pas possible de la contourner avec Tor. Vous pouvez aller consulter le circuit de vos nœuds Tor sur le petit oignon vert en haut à gauche

  

• Il existe des « niveaux de sécurité » sur Tor. Vous les trouverez toujours sur le petit oignon vert. Par défaut, le niveau de sécurité est bas (Low).

  

  Vous pouvez le monter en « Medium » ou « High », mais il y aura des conséquences, notamment sur la lecture de vidéo (flash est désactivé) et sur l’utilisation de javascript. Ça sera un peu moins web 2.0 quoi !

• On peut créer une « Nouvelle identité » sur le petit oignon vert ou bien par le raccourci « ctrl+shift+U ». Les nœuds Tor changent et donc votre IP aussi. Pratique quand vous passez d’une activité sur le web à une autre ou que vous voulez consulter vos relevés bancaires après avoir fait un achat sur un site dont vous n’êtes pas sûr.es.
• Il est également possible de créer des raccourcis sur Tor comme dans tous les navigateurs grâce à un simple raccourci ctrl+d (Pomme+d pour les mac).