Je vais ici vous expliquer comment faire pour naviguer sans compromettre votre anonymat. En effet, la plupars, sinon l’écrasante majorité des arrestations dues à des activités sur Tor l’ont été à cause d’erreurs humaines. Tor peut vous protéger de beaucoup de chose, mais Tor ne vous protégera pas de vous même. Rapellez vous donc que la sécurité, n’est pas un produit ou un programme, mais un processus : l’utilisation de Tor est pas une garantie de sécurité, mais elle s’inscrit dans ce processus de réduction du risques.
Pour illustrer ça, je vous propose d’analyser deux scénarios :
Scénario n°1
Volontairement un peut exagérer pour comprendre les risques.
Je veux consulter mes emails, aller sur le forum clearnet « Psychoactif » voir les nouveaux messages, et passer une commande de weed sur WallStreet Market (site tor).
Je lance le Tor browser sans vérifier mon niveau de sécurité (Mauvaise pratique n°1). Je vais sur google (Mauvaise pratique n°2), je tape « psychoactif », et je clique sur le lien des résultats de recherche (Mauvaises pratiques n°3 et 4) qui m’ouvre le site psychoactif.org dans un nouvel onglet (Mauvaise pratique n°5). Ensuite, je veux passer ma commande. Problème, je connais pas l’addresse de WallStreet par cœur. Sur la même session google (Mauvaise pratique n°6), je tape « WallStreet Market DeepDotWeb », je clique sur le résultat de recherche (Mauvaises pratiques n°3 et 4, deuxième couche) et j’ouvre le site de DDW dans un 3èm onglet. Une fois que j’ai récupéré l’addresse, je vais sur WSM dans un 4èm onglet et je m’identifie (Mauvaise pratique n°7). Sauf que pour passer ma commande, il faut que je transfère des bitcoins. Je retourne donc dans l’onglet google (Mauvaise pratique n°6, deuxième couche) et je tape bitwallet (ou le nom de n’importe quel wallet en ligne sur lequel vous êtes identifié) (Mauvaise pratique n°8) et je clique sur le lien dans la recherche de résultat (mauvaises pratiques n°3 et 4, troisième couche). J’ouvre le site de Bitwallet dans un 5èm onglet et je m’identifie pour faire la transaction. Le temps que mes bitcoins arrivent, je décide d’aller consulter mes emails sur gmail. Toujours dans mon onglet google (mauvaise pratique n°6, troisième couche), je tape « gmail ». Je clique sur le résultat de recherche (mauvaises pratiques n°3 et 4, quatrième couche) et j’ouvre gmail dans un 6èm onglet. Je m’autentifie (Mauvaise pratique n°9), je regarde mes emails et j’ai un contact qui m’a envoyé une vidéo sur Youtube. J’ouvre donc Youtube (Mauvaise Pratique n°10) en cliquant dessus (mauvaises pratiques n°3 et 4, cinquième couche) dans un 7èm onglet. Sauf que le problème, c’est que youtube nécessite de mettre le niveau de sécurité du Tor Browser au minimum pour que ça fonctionne. Je suis donc obligé de mettre ce niveau au minimum globalement, c’est à dire y compris pour ma session WallStreet sur laquelle je suis connecté. Comme ma vidéo est toute petite dans le navigateur, je met le Tor Browser en plein écran (Mauvaise pratique n°11). Une fois que ma vidéo est terminée et que mes bitcoins sont arrivés, je passe ma commande sur WS en ayant oublié que mon niveau de sécurité est au minimum.
Analysons les mauvaises pratiques :
Mauvaise pratique n°1 : Ne pas vérifier si le niveau de sécurité est au maximum.
Mauvaise pratique n°2 : Utiliser Google. Compte tenu de la politique de confidentialité de Google, c’est un peu un non-sens que de l’utiliser avec Tor. Utilisez plutôt les moteurs de recherche alternatifs. De toute façon, l’exemple que je vous ai donné ci dessus est un peu un mauvais exemple car google n’aime pas Tor et utiliser Google depuis Tor, c’est une véritable purge anale. L’utilisation de moteurs de recherche alternatifs a l’énorme avantage de ne pas vous faire remplir une terachiée de captcha complètement illisibles.
Mauvaise pratique n°3 : Quand on veut aller sur un site qu’on connait, il vaut mieux taper directement l’url dans la barre d’URL. Ça évite d’interroger les moteurs de recherche et de faire fuiter votre vie privée.
Mauvaise pratique n°4 : Cliquer sur un hyperlien. Quand vous allez sur un site en ayant cliqué sur un hyperlien, vous envoyez au site cible avec votre requête l’addresse du site source. On appelle ça un référent. Par exemple, cliquez sur ce lien : c’est un site qui vous dit d’où est ce que vous venez. C’est de cette manière que de nombreux sites tiennent des statistiques pour savoir depuis quels sites viennent leurs visiteurs. Quand on navigue sur internet (et pas seulement sur Tor), c’est une bonne pratique de copier coller l’URL dans la barre d’addresse plutôt que de cliquer sur un hyperlien car ainsi, on n’envoie aucun référent au site visité.
Mauvaise pratique n°5 : Ouvrir 15000 onglets différents
Mauvaise pratique n°6 : Réutiliser une session google. Au fur et à mesure de votre session, google apprend que « Quelqu’un » veut visiter le site psychoactif.org, puis que ce « quelqu’un » essaie ensuite de connaitre l’addresse de WSM. Ensuite, en vous identifiant sur gmail (Mauvaise pratique n°8), google apprend que ce quelqu’un, c’est vous, et là, c’est mort : vous n’êtes plus anonyme, alors que pourtant, vous utilisez Tor.
Mauvaise pratique n°7 : Visiter, et même pire, s’identifier sur un service caché en ayant d’autres activités en parallèle. Si le site contient des scripts malveillants qui arrivent à s’éxécuter, il est possible de savoir qu’est ce que vous êtes en train de faire dans votre navigateur. De toute façon, l’utilisation de services cachés requiert la plus grande prudence et on ne passe pas sa commande d’ héro sur un market tout en regardant des vidéos alakon sur facebook.
Mauvaise pratique n°8 : Utiliser un wallet en ligne pour lequel vous ne possédez pas la clé privée et pour lequel vous avez probablement du fournir une véritable identité. Pour rappel, c’est comme ça que OxyMonster a été arrêté.
Mauvaise pratique n°9 : S’autentifier sur un service dans le contexte de cet exemple est juste une erreur fatale. Vous avez fait plusieurs recherches sur google et vous fournissez maintenant votre identité, ce qui permet à google de vous attribuer toutes les recherches que vous avez faites précédemment.
Mauvaise Pratique n°10 : Youtube est bourré de Javascript dont certains scripts qui pompent vos données comme votre résolution d’écran. Et vous êtes obligé de baisser la sécurité parce que Youtube ne fonctionne pas sans ça.
Mauvaise pratique n° 11 : On ne met pas le Tor Browser en plein écran. Si vous le faites, vous aurez droit à un petit message d’avertissement comme quoi c’est pas bien ^^. En fait, le Tor Browser est conçu pour se fondre dans la masse et la taille de la fenêtre du Tor Browser a été faite dans cette optique. Les sites sont capables d’extraire la résolution de votre écran pour que les pages s’y adaptent. Donc maximiser le navigateur, c’est prendre le risque d’envoyer au site votre résolution d’écran, ce qui est une information pouvant servir à vous traquer.
Voici maintenant le scénario n°2
Je veux consulter mes emails, aller sur Psychoactif voir les nouveaux messages, et passer une commande de weed sur WallStreet Market.
Je lance le Tor browser. Je vérifie que je suis en sécurité maximum, que le Javascript est bien bloqué, et que l’extension https everywhere bloque toutes les requêtes non chiffrées (Bonne pratique n°1). Je veux commencer par aller sur Psychoactif. Je tape directement l’URL de psychoactif (www.psychoactif.org) dans la barre d’URL (Bonne pratique n°2). Je fais ce que j’ai à y faire. Ensuite, je veux passer une commande sur WSM, mais je ne connais pas l’URL par cœur. Je me déconnecte de PA, et je demande une nouvelle identité au Tor Browser (Bonne pratique n°3), ce qui a pour effet de vider le cache, de supprimer tout les cookies et tous les résidus de données qui pourraient subsister, et d’obtenir un nouveau navigateur tout neuf. Je tape « DeepDotWeb » dans la barre de recherche en haut à droite et je fais faire la recherche par Startpage (Bonne pratique n°4). Lorsque j’ai les résultats de recherche, je copie l’URL de DeepDotWeb, je la colle dans la barre d’URL (Bonne pratique n°5) et je vais sur le site sans ouvrir un nouvel onglet (Bonne pratique n°6) (Variante encore meilleure, mais plus lourde : Je copie l’URL, je demande une nouvelle identité (Bonne pratique n°3[/color]) et je colle ensuite l’URL dans un Tor Browser vierge. C’est personnellement comme ça que je fais). Une fois que j’ai l’adresse de WSM, je la copie, je demande une nouvelle identité pour avoir un navigateur vierge (Bonne pratique n°3, deuxième couche) et je la colle dans la barre d’URL. Je me connecte, et je transfère le nombre nécessaire de bitcoins sur le service caché depuis un Wallet dont je suis le seul à posséder la clé privée, par ex. Electrum (Bonne pratique n°7), en le faisant passer dans le réseau Tor (Bonne pratique n°8, voir chapitre utilisation avancée de Tor). En attendant que mes bitcoins arrivent, j’aimerais bien aller consulter mes emails sur Gmail. Je me déconnecte de WSM et je demande une nouvelle identité (Bonne pratique n°3 troisième couche). Je tape l’adresse de gmail directement dans la barre d’URL (Bonne pratique n°2 deuxième couche). Je baisse la sécurité parce que c’est nécessaire si je veux aller sur gmail, mais ça n’a pas impacté le reste de ma navigation qui s’est faite en sécurité maximale. Dans mes emails, un pote m’a envoyé une vidéo sur youtube. Je copie l’URL de la vidéo et je télécharge la vidéo via le logiciel youtube-dl pour la regarder en local et pour ne pas avoir à aller sur le site de Youtube et me traîner ses cookies et son Javascript de merde (Bonne pratique n°9), tout en faisant passer le téléchargement par Tor (Bonne pratique n°8 deuxième couche). Une fois que j’ai lu mes emails et que j’ai regardé ma vidéo directement sur mon PC, je me déconnecte, je réclame une nouvelle identité (Bonne pratique n°3, quatrième couche), je n’oublie pas de remettre mes paramètres de sécurité en maximum (Bonne pratique n°1 deuxième couche) et je retourne sur WSM voir si mes bitcoins sont bien arrivés pour passer ma commande (Et si j’ai encore oublié l’adresse de WSM, je retourne sur DeepDotWeb de la même façon que précédemment. Le mieux étant de sauvegarder l’addresse dans un gestionnaire de mot de passe comme Keepass).
Voilà. C’est comme ça qu’on utilise Tor de façon safe.
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.