"[Archive] "Just use Tor."" on https://aligot-death.space, available at https://aligot-death.space/txt/just-use-tor-fr
[Archive] "Just use Tor."
Article issu de mon vieux blog.
Tor est souvent présenté comme LA solution ultime à vos problèmes de gouvernement trop curieux ou de MégaCorp omniscients. Plus précisément, chaque fois qu'un.e néophyte demande des solutions à la surveillance généralisée dans la vie de tous les jours, on entend (trop) souvent en réponse "déjà, installe Tor Browser" en plus des classiques "désactive ton Facebook" et "passe sous Linux", qui souffrent du même problème de non-mise en contexte. Mais ce n'est pas le propos ici.
Une solution magique ?#
Pour commencer, l'aspect technique pur : Tor n'est pas la solution à tous les problèmes. Générer du trafic Tor est tout sauf inoffensif et revient à accrocher un néon "Je fais des trucs pas glop" à sa connexion. Détecter Tor est un non-effort pour un état, et peut selon les besoins être même contre-productif. Le problème n'est donc pas de proposer Tor : c'est un outil qui reste puissant et qui fait partie de ces outils comme PGP ou Signal qui ont le mérite d'encore pas mal entraver le recul de la vie privée. Non, le problème est cette tendance à conseiller son usage sans en expliquer les tenants et aboutissants et pire encore, sans en expliquer les risques. "Un utilisateur averti en vaut une bonne tripotée d'inconscients."
Comment, pourquoi#
Tor pose donc avant tout un problème de mise en contexte : seul, il s'avère donc généralement avoir l'effet inverse de ce qui est désiré. Il est donc d'usage d'utiliser en plus de celui-ci un VPN afin de réduire la visibilité de son trafic auprès d'un éventuel intermédiaire, a contrario de certaines solutions qui visent plutôt à se cacher vis-à-vis du point distant (généralement un serveur) sur lequel on se connecte. Attention néanmoins, un VPN n'est pas non plus une solution miracle et ne rend pas totalement transparente une connexion ; une analyse à peine plus minutieuse des paquets ou simplement de l'adresse de grands fournisseurs de VPN permet d'en détecter l'usage. Aussi, parce que l'on fait transiter son trafic par un intermédiaire supplémentaire, il faut en plus faire confiance à celui-ci ou à la législation de son pays. Tor pose également des risques sécuritaires. Sans être le Far-west que nous vendent les politiciens, il est préférable de mettre au fait les personnes à qui l'on en conseille l'usage. D'une part, éviter au maximum les téléchargements de fichiers binaires (.exe) via Tor. Il est de moins en moins rare de voir des nœuds transitaires compromis tenter de véroler ceux-ci pour peu que la connexion soit mal protégée ; même si Tor Browser se pare de l'addon HTTPS-Everywhere, une connexion HTTPS peut tout aussi bien être mal protégée. Et dans tous les cas, Tor restant un réseau alternatif il ne jouit pas de la même capacité de trafic qu'une connexion classique et il est donc préférable d'éviter les téléchargements trop lourds si possible. À cela s'ajoute que si le derk-oueb n'est pas spécialement plus rempli de trucs illégaux que le "clearnet" ou même le vrai monde de la vie véritable, il rend néanmoins leur accès un peu plus simple ; il faut donc encore une fois sensibiliser les utilisateurs aux "codes" de ces réseaux, afin qu'ils se tiennent à distance de tout ce qui peut faire mention de "hard-candy" (comprenez, du porn pédo), "snuff" ou voire selon les sensibilités des clones de feu la Silk-road.
Faute de solution parfaite...#
Le concept clef ici est celui du modèle de menace : contre qui se protège-t-on, pour quelles données, et avec quelle marge d'erreur tolérée. Aucune solution n'est parfaite et il faut partir du principe que toute donnée est potentiellement compromise. En avoir conscience est important afin de savoir quels risques nous sommes prêt à courir comparé à l'importance des données mises en jeu. Ne pas adapter son niveau de protection aux besoins, c'est courir le risque de voir des données pourtant peu intéressantes attirer l'attention et finir compromise, alors que l'on cherchait l'effet inverse. Tor Browser s'avère donc utile dans deux cas principaux :
- quand ce n'est pas possible de s'en passer, si par exemple votre gouvernement bloque tout bonnement l'accès à la ressource désirée et que vous comptez régulièrement y accéder tout en pariant sur l'aspect protectif plus que l'aspect invisibilisation ;
- si vous vous prétendez "crypto-anarchiste" et que vous vous servez donc de Tor par choix politique et non par besoin, afin d'entraver la surveillance de masse en générant un maximum de bruit. Cela implique en revanche de ne pas tant compter que ça sur ça vie privée, le but étant de se transformer en phare ambulant.
En bref : si vous conseillez Tor à quelqu'un, accompagnez toujours la chose des conseils d'usage sur la vie privée et les bonnes pratiques sur les réseaux.