Categories
Privacy

Nouveau conseil d’administration pour le projet Tor

Le projet Tor renouvelle son conseil d’administration. Et ce n’est pas un moindre remaniement. Les membres Roger Dingledine, Nick Mathewson, Meredith Hoban Dunn, Ian Goldberg, Julius Mittenzwei, Rabbi Rob Thomas et Wendy Seltzer ne font plus parti du conseil. Le nouveau conseil est constitué de Bruce Schneier, Matt Blaze, Gabriella Colemn et Linus Nordberg. Je suis très content de la présence de Bruce Schneier (aussi membre de l’EFF) et Matt Blaze. Je suis lecteur de longue date de leurs blogs. Deux personnes avec de longues et sérieuses carrières. Qui ont déjà énormément donné.

Rappelons que le projet Tor a également un nouveau directeur exécutif, Shari Steele, venant également de l’EFF. Elle semble faire un excellent travail avec beaucoup de réformes.

Après le scandale Appelbaum (que je suis de près), ça ne peut que faire du bien. Même si un tel changement peut nous faire nous poser encore plus de questions. J’espère qu’il n’y a pas de rapport direct.

Je m’étais volontairement abstenu de parler de l’affaire Appelbaum sur ce blog. Malheureusement, je ne me fais plus d’idées depuis quelques semaines. Ma déception est gigantesque. C’est aussi l’erreur d’avoir mis une personne à la lumière des projecteurs et qui est devenue à la longue une véritable rockstar. Bref.

Categories
Security

Ricochet

Je teste le nouveau système de messagerie instantanée Ricochet, basé sur Tor.

Ricochet est multi-plateforme et simple à installer. En fait il n’y a pas vraiment d’installation. Le client Tor y est même bundlé (pour l’instant je ne peux donc pas usiter le client Tor tournant déjà sur mon ordinateur. Comme avec le Tor Browser).
Le logiciel est aussi très simple à utiliser, je dirais même plus simple qu’un logiciel de messagerie quelconque.
Ces critères sont importants afin qu’une technologie ayant pour but de protéger la vie privée soit réellement utilisée.

Un des avantages est que Ricochet n’utilise pas de méta-données (émetteur, destinataire, etc.) non chiffrées pour fonctionner. De plus, les adresses Ricochet ne sont pas trop longues (un exemple: ricochet:qjj5g7bxwcvs3d7i). Elles sont mêmes plus courtes que les adresses Bitmessage.

Si vous le voulez, je peux vous donner mon adresse.

Categories
Security

Ransomware as a Service

Trouvé via le blog de Bruce Schneier, Tox, une plateforme de ransomware. C’est énorme. Et nous ne sommes même pas le premier Avril.

Vous pouvez visiter le site de Tox en passant par Tor.

Categories
Privacy

Une configuration d’actualité pour votre client Tor

ExcludeExitNodes {fr}, {fx}, {gf}, {pf}, {tf}

Je vous conseil d’ajouter cette ligne dans votre fichier torrc. Éviter les noeuds de sortie est suffisant. Il est par contre inutile et même déconseillé d’éviter les noeuds relais (afin de ne pas limiter les possibilités de circuits).

Categories
Liberty

Sybil attack

Tor est actuellement victime d’une attaque, dite Sybil attack, provenant du groupe de personnes Lizard Squad. Un nombre croissant de noeuds est ainsi déployé via des machines GCE (Google Compute Engine). La liste est ici.

Je dis un «groupe de personnes» car nous ne savons pas encore à qu’elle catégorie ils appartiennent.

Donc certainement pas aux hackers. L’honneur est sauf.

Pour le moment il ne faut pas trop paniquer car 3300 relais représentent 0.2743% du réseau. De plus, normalement un noeud est accepté uniquement après 88 jours.

Le groupe semble faire un peu dans le FUD:

Il faut faire attention aux idioties que l’on peut trouver sur ce genre de site (je n’aime pas vraiment le journalisme IT) et le flux Twitter de Lizard Squad.

Par contre, le problème est bien expliqué ici. Je vous conseil de lire toute la discussion. On trouve également des commentaires intéressants sur Hacker News.

Aussi ce type d’attaque a déjà été utilisé (l’est peut être encore) par le FBI. Donc ce n’est pas une attaque «zero day». Je me demande également si le ToS de Google autorise le déploiement de noeuds Tor. Google pourrait simplement tous les fermer.

Pour finir, les nouveaux noeuds se situent tous aux États-Unis. Pour vous rassurer vous pouvez donc simplement les bannir en ajoutant au fichier /etc/tor/torrc :

ExcludeNodes US
StrictNodes 1

Certainement inutile pour le moment.

En tout cas, j’utilise toujours Tor et je pense même de plus en plus à déployer un noeud pour les aider.

Categories
Privacy

OrfoxOS

OrfoxOS, un fork de Firefox OS utilisant Tor pour l’anonymat. Mozilla pourrait proposer ceci, avec une option pour l’activer.

J’ai récemment évoqué orWall qui permet de faire la même chose pour Android.

Categories
Security

Pas de panique

Vous êtes en zone sécurisée. Ce site dispose maintenant d’un certificat à la norme X.509 certifié par l’autorité de certification CAcert.org que votre navigateur ne connaît peut-être pas. Donc ne paniquez pas si vous voyez un message d’alerte. Vérifiez l’empreinte du certificat et acceptez le (si vous voulez).

Je vous incite également à utiliser Tor pour votre surf sur le Web (ce n’est pas la peine si vous ne vous intéressez pas à votre vie privée). J’utilise moi-même Tor pratiquement pour me connecter à tous les serveurs Web. Sauf les serveurs qui fournissent uniquement une connexion HTTP, auxquels je dois m’identifier (avec des données privées). Donc jusqu’à aujourd’hui je ne pouvais pas m’identifier sur ce blog ou ce wiki en utilisant le réseau Tor. Ce problème est résolu. Ainsi j’écris en ce moment même ce billet en passant par quelques noeuds du réseau Tor et je sais que la connexion entre le noeud de sortie et le serveur hébergeant le blog est sécurisée.

Pourquoi je veux utiliser HTTPS?
D’abord pour vous, mes chers lecteurs. Certains tentent peut-être, comme moi, de faire des efforts pour préserver un semblant de vie privée.
Mais surtout car je veux participer à la généralisation d’un Web plus sécurisé (raison pour laquelle je poste régulièrement des billets de propagande pour le réseau Tor), en partie en inondant des agences comme la NSA de données chiffrées.

Categories
Privacy Security

Messagerie instantanée du projet Tor

Très bientôt vous allez pouvoir tester le système de messagerie instantanée de Tor, Instant Messaging Bundle (TIMB), basée sur Instantbird. Une première version pourrait être publiée le 31 Mars 2014, sans le support d’OTR.

C’est une bonne nouvelle car l’intégration dans Instantbird va faciliter la diffusion (si possible des intégrations dans Pidgin et Kopete seraient aussi les bienvenues). En effet le problème est toujours l’acceptation avec ce genre de technologies (même GnuPG) pas facilement abordables pour l’utilisateur moyen.

Categories
Liberty Privacy Security

Nouvelle attaque sur les utilisateurs de Tor

Une attaque, une injection JavaScript, affecte les utilisateurs de Tor utilisant Windows et Firefox (version 17 et antérieure).

Je pense que la porté de cette attaque est limité car la plupart des utilisateurs de Tor devraient utiliser un Firefox à jour avec l’extension NoScript. Avec du recul je constate que le fait de désactiver JavaScript par défaut permet d’éviter de nombreuses attaques. D’autres extensions, certainement aussi utilisées par les utilisateurs de Tor, vous aideront à garder l’anonymat et naviguer en sécurité. Vous pouvez lire mes recommandations sur ce billet. J’ajouterai juste que depuis quelques semaines je n’utilise plus Ghostery.

En plus des extensions Firefox à utiliser, il est important de vérifier la configuration de votre navigateur. Y compris pour les autres navigateurs, par exemple Rekonq que j’aime bien. La capture suivante présente mes configurations en ce qui concerne la gestion des cookies:

Cookies Firefox

Cela peut paraître un peu restrictif mais une fois que vous aurez listé vos sites de confiance la qualité de la navigation ne sera pas dégradée. Ma configuration est identique pour Rekonq qui passe également par Privoxy/Tor puisque tout mon bureau KDE est connecté à Internet via Tor (y compris Blogilo utilisé pour poster ce billet). J’avais évoqué la démarche à suivre, très simple, sur ce billet. Par la même occasion vous pourrez aussi désactiver Java.

Categories
Privacy Security

Utiliser Tor de manière transparente

Voici la procédure si vous désirez que toutes vos applications clientes (navigateurs, kmail, apt-get, etc.) passent par Privoxy/Tor pour les connexions HTTP.

Éditez le fichier /etc/privoxy/config

Vous devez avoir:

forward-socks5   /               127.0.0.1:9050 .
listen-address 127.0.0.1:8118
accept-intercepted-requests 1

Configurez iptables

iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner root -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner ! --uid-owner privoxy -j REDIRECT --to-port 8118

Test:

curl -s http://check.torproject.org | grep -i 'Congratulations'

Autre solution

Valable si vous utilisez KDE. Un panneau de configuration permet de demander aux applications KDE de passer par le proxy, comme le montre la capture ci-dessous.

kdesecure