À propos de Tor

Internet fonctionne en mode différé (Store and Forward), qui peut facilement s'expliquer avec une analogie avec le courrier postal : les données sont transmises en blocs appelés datagrammes IP ou paquets. Chaque paquet contient une adresse IP source (de l'expéditeur) et une adresse IP de destination (du destinataire), tout comme les lettres en papier affichent l'adresse du destinataire et de l'expéditeur. La route entre l'expéditeur et le destinataire impliquent de passer par de multiples routeurs. Chacun de ces routeurs inspecte l'adresse IP de destination et transmet le paquet au prochain routeur le plus proche de cette destination. Ainsi, chaque routeur entre l'expéditeur et le destinataire voient que l'expéditeur communique avec le destinataire. Tout particulièrement, votre fournisseur d'accès Internet est en mesure de faire un profilage exhaustif de votre utilisation d'Internet. De la même façon, chaque serveur de l'Internet qui voit passer vos paquets peut profiler vos comportements.

Le but de Tor est d'améliorer la protection de votre vie privée en envoyant votre trafic à travers une série de mandataires (proxies). Vos communications sont chiffrées par plusieurs couches de chiffrement et sont routées jusqu'au destinataire via plusieurs noeuds à travers le réseau Tor. Plus de détails sur ce processus sont expliqués dans cette visualisation. Notez que votre fournisseur d'accès Internet peut voir que vous communiquez avec des noeuds Tor. De même, les serveurs de l'Internet voient qu'ils sont accédés depuis le réseau Tor.

De manière générale, Tor essaie de résoudre trois problèmes de vie privée :

Premièrement, Tor empêche les sites web et autres services de connaître votre localisation, qu'ils peuvent utiliser pour construire des bases de données sur vos habitudes et vos intérêts. Avec Tor, vos connexions Internet ne dévoilent pas par défaut vos données personnelles – vous avez le choix, pour chaque connexion, de quelles informations vous souhaitez révéler.

Deuxièmement, Tor empêche les gens d'espionner votre trafic localement (comme votre FAI ou quelqu'un qui a accès à votre Wi-Fi domestique ou à votre routeur) et de voir à quelles informations vous accédez et à quels serveurs vous vous connectez. Cela les empêche aussi de restreindre ce que vous pouvez apprendre et publier – si vous arrivez à accéder au réseau Tor, vous pouvez joindre n'importe quel site de l'Internet.

Troisièmement, Tor route vos connexions à travers plusieurs relais Tor ; ainsi, aucun relai Tor ne peut savoir ce que vous faites. Du fait que ces relais sont opérés par des organisations ou des individus différents, la distribution de la confiance fournit plus de sécurité que la vieille approche du proxy unique.

Cependant, il y a des situations dans lesquelles Tor ne résout pas complètement ces problèmes de vie privée : voir la section ci-dessous sur les attaques possibles.

Comme mentionné ci-dessus, il est possible pour un observateur qui peut espionner à la fois vous et soit le site web de destination ou votre nœud de sortie Tor de corréler les timings de votre trafic lorsqu'il entre sur le réseau Tor et quand il en ressort. Tor ne se défend pas contre un tel modèle de menace.

En un sens plus restreint, notez que si un censeur ou un organisme d’application de la loi a la capacité d'obtenir des observations spécifiques de certaines parties du réseau, il est possible pour eux de vérifier leur suspicion que vous parlez régulièrement à votre ami en observant le trafic aux deux extrémités et en corrélant le timing de ce trafic en particulier. Encore une fois, ça n'est utile que pour vérifier que des parties déjà suspectes communiquent bien ensemble. Dans la plupart des pays, la suspicion nécessaire pour obtenir un mandat est déjà plus importante que la corrélation de timing pourrait fournir.

De plus, comme Tor réutilise les circuits pour de multiples connexions TCP, il est possible d'associer du trafic anonyme et non anonyme sur un nœud de sortie donné, faites donc attention aux applications qui utilisent Tor en même temps. N'hésitez pas à lancer plusieurs clients Tor pour chacune de ces applications.

Le nom « Tor » peut désigner différentes composantes.

Tor est un programme que vous pouvez exécuter sur votre ordinateur et qui contribue à votre sécurité sur Internet. Il vous protège en faisant rebondir vos communications autour d’un réseau distribué de relais gérés par des bénévoles du monde entier : il empêche quelqu’un qui surveille votre connexion Internet de connaître les sites que vous visitez, et il empêche les sites que vous visitez de connaître votre emplacement physique. Cet ensemble de relais volontaires est appelé le réseau Tor.

La façon dont la plupart des gens utilisent Tor est avec le Navigateur Tor, qui est une version de Firefox qui corrige de nombreux problèmes de protection des renseignements personnels. Pour plus de précisons sur Tor, consulter notre page À propos.

Le Projet Tor est un organisme sans but lucratif (charité) qui maintient et développe le logiciel Tor.

Tor est le réseau de routage en onion. Quand nous commencions la conception de nouvelle génération et la mise en œuvre du routage en onion en 2001, 2002, nous disions aux gens que nous travaillions sur le routage en onion, et ils disaient « Super. Lequel ? » Même si l’expression « routage en onion » fait partie du vocabulaire courant, Tor est né du projet du routage en onion géré par le Laboratoire de recherche navale.

(Il a aussi une belle signification en allemand et en turc. )

Note : Même s’il est provenu d’un acronyme à l’origine, Tor ne s’écrit pas « TOR ». Seule la première lettre est en majuscule. En fait, nous pouvons généralement repérer les personnes qui n’ont lu aucun de nos sites Web (et qui ont plutôt appris tout ce qu’elles savent sur Tor à partir d’articles de presse) par le fait qu’elles l’orthographient mal.

Non, il ne les supprime pas. Vous devez utiliser un programme distinct qui comprend votre application et votre protocole et sait comment nettoyer ou "frotter" les données qu’il envoie. Le Navigateur Tor essaie de garder les données au niveau de l’application, comme la chaîne de l’agent utilisateur, uniforme pour tous les utilisateurs. Cependant, le Navigateur Tor ne peut rien faire pour le texte que vous tapez dans les formulaires.

Un fournisseur de mandataire typique met en place un serveur quelque part sur Internet et vous permet de l’utiliser pour relayer votre trafic. Cela crée une architecture simple et facile à administrer. Les utilisateurs entrent et sortent tous par le même serveur. Le fournisseur peut facturer l’utilisation du mandataire, ou financer ses coûts par des publicités sur le serveur. C’est la configuration la plus simple, vous n’avez rien à installer. Il vous suffit de pointer votre navigateur vers leur serveur mandataire. Les fournisseurs de mandataire simples sont de bonnes solutions si vous ne voulez pas de protection de votre vie privée et de votre anonymat en ligne et si vous faites confiance au fournisseur pour ne pas faire de mauvaises choses. Certains fournisseurs de mandataire simples utilisent le protocole SSL pour sécuriser votre connexion vers eux, ce qui vous protège contre les écoutes électroniques locales, telles que celles dans un café qui offre un accès Wi-Fi gratuit à Internet.

Les simples fournisseurs de mandataire créent également un point d’échec unique. Le fournisseur d’accès sait à la fois qui vous êtes et ce que vous naviguez sur l’internet. Ils peuvent voir votre trafic quand il passe par leur serveur. Dans certains cas, ils peuvent même voir à l’intérieur de votre trafic chiffré quand ils le transmettent à votre site bancaire ou à des magasins de commerce électronique. Vous devez avoir confiance dans le fait que le fournisseur ne surveille pas votre trafic, n’injecte pas ses propres publicités dans votre flux de trafic et n’enregistre pas vos données personnelles.

Tor fait passer votre trafic par au moins 3 serveurs différents avant de l’envoyer à la destination. Comme il y a une couche de chiffrement séparée pour chacun des trois relais, quelqu’un qui surveille votre connexion Internet ne peut pas modifier, ou lire, ce que vous envoyez dans le réseau Tor. Votre trafic est chiffré entre le client Tor (sur votre ordinateur) et l’endroit où il sort ailleurs dans le monde.

Le premier serveur ne voit-il pas qui je suis ?

Possiblement. Un mauvais premier des trois serveurs peut voir le trafic Tor chiffré provenant de votre ordinateur. Il ne sait toujours pas qui vous êtes et ce que vous faites sur Tor. Il voit simplement "Cette adresse IP utilise Tor". Vous êtes toujours protégé contre ce nœud qui vous permet de savoir qui vous êtes et où vous allez sur l’internet.

Le troisième serveur ne peut pas voir mon trafic ?

Possiblement. Un mauvais tiers des trois serveurs peut voir le trafic que vous avez envoyé dans Tor. Il ne saura pas qui a envoyé ce trafic. Si vous utilisez le chiffrement (tel que HTTPS). Il ne connaîtra que la destination. Voir cette visualisation de Tor et HTTPS pour comprendre comment Tor et HTTPS interagissent.

Oui.

Les logiciels de Tor sont des logiciels libres (site en anglais). Cela signifie que nous vous accordons les droits de redistribuer les logiciels de Tor modifiés ou non, soit moyennant des frais soit gratuitement. Vous n’avez pas à nous demander de permission particulière.

Cependant, si vous souhaitez redistribuer les logiciels de Tor, vous devez respecter notre LICENCE (page en anglais). Cela signifie essentiellement que vous devez inclure notre fichier « LICENSE » avec toute partie des logiciels de Tor que vous distribuez.

La plupart des gens qui nous posent cette question ne veulent pas seulement distribuer le logiciel Tor, cependant. Ils veulent distribuer le Navigateur Tor. Cela inclut Version étendue du support de Firefox, et les extensions NoScript et HTTPS-Everywhere. Vous devrez également suivre la licence de ces programmes. Ces deux extensions Firefox sont distribuées sous la licence publique générale GNU, tandis que Firefox ESR est publié sous la licence publique Mozilla. La façon la plus simple de respecter leurs licences est d’inclure le code source de ces programmes partout où vous incluez les paquets eux-mêmes.

Aussi, vous devez vous assurer de ne pas confondre vos lecteurs sur ce qu’est Tor, qui le fabrique et quelles sont les propriétés qu’il fournit (et ne fournit pas). Voir notre FAQ sur les marques de commerce pour plus de détails.

Il existe de nombreux autres programmes que vous pouvez utiliser avec Tor, mais nous n’avons pas effectué de recherche assez poussée des problèmes d’anonymat au niveau de l’application sur chacun d’eux pour recommander une configuration sûre. Vous trouverez sur notre wiki une liste d’instructions gérée par la communauté afin de torifier des applications particulières. Ajoutez à cette liste et aidez-nous à la maintenir exacte !

La plupart des gens utilisent le Navigateur Tor, qui comprend tout ce dont vous avez besoin pour parcourir la Toile en toute sécurité en utilisant Tor. Utiliser Tor avec d'autres navigateurs est dangereux et déconseillé.

Il n’y a absolument aucune porte dérobée dans Tor.

Nous connaissons des avocats brillants qui disent qu’il est peu probable que quelqu’un puisse essayer de nous en faire ajouter une dans notre territoire (É.-U.). Si l’on nous le demandait, nous nous battrions et, d’après les avocats, nous gagnerions probablement.

Nous n’ajouterons jamais de porte dérobée dans Tor. Nous pensons qu’aux yeux de nos utilisateurs, il serait terriblement irresponsable d’ajouter une porte dérobée dans Tor, et un mauvais précédent pour les logiciels de sécurité en général. Si jamais nous mettions délibérément une porte dérobée dans notre logiciel de sécurité, cela ruinerait notre réputation professionnelle. Personne ne fera plus jamais confiance à nos logiciels - pour d’excellentes raisons !

Cela dit, il existe un grand nombre d’attaques subtiles que des personnes pourraient tenter. Quelqu’un pourrait se faire passer pour nous ou s’introduire de force dans nos ordinateurs, ou quelque chose de la sorte. Tor est à code source ouvert et vous devriez toujours vérifier la présence de choses suspectes dans la source (ou au moins les différences depuis la dernière version). Si nous (ou les distributeurs qui vous ont donné Tor) ne vous donnons pas accès au code source, c’est un signe certain que quelque chose de drôle pourrait se passer. Vous devriez aussi vérifier les signatures PGP  des ces versions, pour s'assurer que personne n'a déterioré les sites de distribution.

De plus, des bogues accidentels dans Tor pourraient affecter votre anonymat. Nous trouvons et corrigeons régulièrement des bogues relatifs à l’anonymat. Aussi, assurez-vous de toujours garder vos versions de Tor à jour.

Tor (comme tous les systèmes actuels d'anonymat à faible latence) échoue lorsque l'attaquant peut voir les deux extrémités du canal de communication. Par exemple, supposons que l'attaquant contrôle ou surveille le relais Tor que vous choisissez pour entrer sur le réseau, et contrôle ou surveille également le site web que vous visitez. Dans ce cas, la communauté des chercheurs ne connaît aucune conception pratique à faible latence qui puisse empêcher de manière fiable l'attaquant de corréler les informations de volume et de temps des deux côtés.

Alors, que devrions-nous faire ? Supposons que l'attaquant contrôle, ou peut observer, le relais C. Supposons qu'il y ait un nombre total de N relais. Si vous sélectionnez de nouveaux relais d'entrée et de sortie chaque fois que vous utilisez le réseau, l'attaquant sera en mesure de corréler tout le trafic que vous envoyez avec une probabilité de l'ordre de (c/n)2. Mais le profilage est, pour la plupart des utilisateurs, aussi mauvais que le fait d'être tracé en permanence : ils veulent faire quelque chose souvent sans que l'attaquant s'en aperçoive, et l'attaquant qui s'en aperçoit une fois est aussi dangereux que celui qui s'en aperçoit plus souvent. Ainsi, en choisissant de nombreuses entrées et sorties aléatoires, l'utilisateur n'a aucune chance d'échapper au profilage par ce type d'attaquant.

La solution est celle des "gardes d'entrée" : chaque client Tor sélectionne quelques relais au hasard pour les utiliser comme points d'entrée, et utilise seulement ces relais pour leur premier passage. Si ces relais ne sont pas contrôlés ou observés, l'attaquant ne peut pas réussir, et l'utilisateur est en sécurité. Si ces relais sont observés ou contrôlés par l'attaquant, ce dernier voit une plus grande partie du trafic de l'utilisateur, mais l'utilisateur n'est pas plus identifié qu'avant. Ainsi, l'utilisateur a une certaine chance (de l'ordre de (n-c)/n) d'éviter le profilage, alors qu'il n'en avait aucune précédemment.

Pour en savoir plus, consultez les sites Analyse de la dégradation des protocoles anonymes, Défense des communications anonymes contre les attaques de journalisation passive et surtout Localisation des serveurs cachés.

Restreindre vos nœuds d'entrée peut également aider contre les attaquants qui veulent faire tourner quelques nœuds Tor et énumérer facilement toutes les adresses IP des utilisateurs de Tor. (Même s'ils ne peuvent pas savoir votre destinations, ils peuvent toujours faire de mauvaises choses avec juste une liste d'utilisateurs.) Toutefois, cette fonctionnalité ne sera pas vraiment utile tant que nous n'aurons pas adopté une conception de type "garde-répertoire".

Tor utilise une variété de clés différentes, avec trois objectifs en tête : Le chiffrement pour assurer la confidentialité des données à l'intérieur du réseau Tor, l'authentification pour que les clients sachent qu'ils parlent aux relais auxquels ils ont l'intention de parler, et les signatures pour s'assurer que tous les clients connaissent le même ensemble de relais.

Chiffrement : tout d'abord, toutes les connexions dans Tor utilisent le chiffrement des liens TLS, donc les observateurs ne peuvent pas regarder à l'intérieur pour voir à quel circuit une cellule donnée est destinée. De plus, le client Tor établit une clé de chiffrement éphémère avec chaque relais du circuit ; ces couches supplémentaires de chiffrement signifient que seul le relais de sortie est capable de lire les cellules. Les deux parties se débarrassent de la clé de circuit à la fin du cycle, de sorte que l'enregistrement du trafic et l'intrusion dans le relais pour découvrir la clé ne fonctionneront pas.

Authentification : Chaque relais Tor possède une clé de décryptage publique appelée "clé onion". Chaque relais fait actualiser sa clé onion toutes les quatre semaines. Lorsque le client Tor établit des circuits, à chaque étape il demande au relais Tor de prouver la connaissance de sa clé onion. De cette façon, le premier nœud du chemin ne peut pas simplement usurper le reste du chemin. Parce que le client Tor choisit le chemin, il peut s'assurer d'obtenir la propriété de "confiance distribuée" de Tor : aucun relais unique sur le chemin ne peut connaître à la fois le client et ce qu'il fait.

Coordination : Comment les clients savent-ils ce que sont les relais, et comment savent-ils qu'ils ont les bonnes clés pour eux ? Chaque relais possède une clé de signature publique à long terme appelée "clé d'identité". Chaque autorité d'annuaire dispose en outre d'une "clé de signature d'annuaire". Les autorités de l'annuaire fournissent une liste signée de tous les relais connus, et cette liste contient un ensemble de certificats de chaque relais (auto-signés par leur clé d'identité) spécifiant leurs clés, leurs emplacements, leurs politiques de sortie, etc. Donc, à moins que les ennemis puissent contrôler une majorité des autorités de répertoire (en 2022, il y a 8 autorités de répertoire), ils ne peuvent pas tromper le client Tor en utilisant d'autres relais Tor.

Comment les clients savent-ils quelles sont les autorités d'annuaire ?

Le logiciel Tor est livré avec une liste intégrée de localisation et de clé publique pour chaque autorité d'annuaire. Ainsi, le seul moyen d'inciter les utilisateurs à utiliser un faux réseau Tor est de leur donner une version spécialement modifiée du logiciel.

Comment les utilisateurs savent-ils qu'ils ont le bon logiciel ?

Lorsque nous distribuons le code source ou un paquet, nous le signons numériquement avec GNU Privacy Guard. Voir les instructions sur la façon de vérifier la signature du navigateur Tor.

Pour être certain qu'il est réellement signé par nous, vous devez nous avoir personnellement rencontrés et avoir obtenu une copie de l'empreinte de notre clé GPG, ou vous devez connaître quelqu'un qui l'a fait. Si vous craignez une attaque à ce niveau, nous vous recommandons de vous impliquer dans la communauté de la sécurité et de commencer à y rencontrer des gens.

Tor va réutiliser le même circuit pour de nouveaux flux TCP pendant 10 minutes, tant que le circuit fonctionne correctement. (Si le circuit échoue, Tor va changer de circuit immédiatement.)

Mais notez qu'une unique connexion TCP (par exemple une longue connexion IRC) va rester sur le même circuit pour toujours. Nous ne basculons pas les connexions d'un ciruit au suivant. Sinon, un adversaire n'ayant qu'une vue partielle du réseau aurait plusieurs chances au fil du temps de vous relier à votre destination.