J’ai eu le plaisir lors du dernier Stretching Numérique, d’animer deux séances de présentation au logiciel Tor qui permet de chiffrer sa navigation et de pouvoir ainsi naviguer sur la Toile d’une manière relativement confidentielle. J’ai exposé les différentes vulnérabilités connues à ce jour qui ont affecté le réseau Tor. J’ai également montré l’intérêt des ponts (bridges) pour circonvenir la censure des communications qui passent par Tor dans certains pays de la Planète. Si la capacité à identifier et bloquer du trafic passant par Tor ou bien à compromettre des relais d’entrée ou de sortie pour désanonymiser les requêtes semblent les menaces les plus étudiées dans la littérature scientifique, je n’ai pas eu l’occasion de lire quoi que ce soit sur la fiabilité des versions du navigateur Tor qui peuvent être obtenues en deça de la Grande Muraille numérique de Chine.
Lorsqu’elle a été posée par une intervenante de mon atelier, je n’avais donc pas anticipé la question suivante : Comment obtenir de façon sécurisée une copie de Tor dans un internet surveillé comme l’Internet chinois
Il est probable que les Chinois s’échangent Tor sous la forme de clés USB (sous la forme d’un logiciel indépendant ou bien plus probablement en tant que service compris dans la suite Tails qui est par principe chargé sur une clé. J’ai eu plusieurs fois l’occasion de le faire pour autrui ou pour moi-même), mais je suppose que ce n’est pas forcément le véhicule principal de ce type de logiciel. Par ailleurs, cette manière de procéder comporte un risque de contamination : si un contact vous fait parvenir une clé Tails infectée et que vous l’utilisez pour vous même et la distribuez ensuite à d’autres membres de votre entourage, selon le principe de la deuxième liberté du logiciel libre (“La liberté de redistribuer des copies de façon à pouvoir aider votre voisin”), vous n’aidez pas votre voisin, bien au contraire, vous l’exposez à de sérieux ennuis.
En fouillant un peu afin d’être en mesure de répondre à cette question, j’ai trouvé une solution plus convaincante et moins risquée que j’ai testée moi-même. Le site de Torproject propose d’envoyer un mail à gettor@torproject.org pour récupérer une copie du logiciel depuis trois sources possibles : Le Google Drive de tor Project, Internet Archive, le Gitlab de Tor Project. Je ne peux pas m’en rendre compte avec mon VPN1, mais il semble qu’Internet Archive ne soit pas censuré en Chine et ce n’est sans doute pas non plus le cas du Gitlab de Tor Project.
Il est possible que les autorités puissent éventuellement percevoir l’origine d’une requête qui interrogerait ces deux serveurs en quête d’une distribution de Tor, mais on peut lire également dans une étude sur la façon dont les internautes chinois déjouent la censure sur Internet, que le fait de chercher à passer outre la “grande muraille” de l’Internet Chinois n’est pas suffisant en soi pour constituer un délit et attirer l’attention des Autorités. En revanche, si cet acte a permis de commettre un délit, alors cela constitue, comme en France du reste, une circonstance aggravante. Par ailleurs, le lien de téléchargement envoyé par mail pour Google Drive est illisible et change constamment. On ne voit pas comment ce lien tombé entre de mauvaises mains pourrait être incriminant. Toutefois, cette étude date de 2013, il est possible, notamment suite à la répression qui s’est abattue depuis sur les Autonomistes de Hong-Kong, que la répression des usages de ces outils soit devenue plus dure.
Si l’internaute décide de prendre le risque, il lui s’assurer que l’exécutable envoyé par mail est bien la version officielle de Tor Browser et pas une version frelatée dans laquelle un attaquant a ajouté une fonction qui fait passer la requête vers des relais d’entrée compromis.
Le message reçu par mail contient aussi la signature et la façon de vérifier que le hash de cette signature correspond bien à l’exécutable qu’il va falloir charger sur son ordinateur ou son téléphone portable.
La procédure de vérification des sommes n’est pas aisée pour tout le monde, tant sur le plan théorique que pratique, mais les étapes à suivre pour les différents systèmes d’exploitation sont bien indiqués sur le site de Tor Project ou bien dans le corps du mail reçu avec les liens de téléchargements.
Depuis que j’ai commencé à former des utilisateurs à la cryptographie asymétrique avec GnuPG, j’utilise depuis longtemps GPG4win pour gérer mes clés publiques et privées et vérifier les signatures. Pour beaucoup d’utilisateurs finaux, ce n’est pourtant pas une étape facile que celle de la vérification :
- il faut comprendre ce que c’est qu’un hash et la fonction cryptographique sous-jacente.
- il faut télécharger une application (GnuPG ou GPG4Win pour Windoew) dont on peine au début à comprendre ce qu’elle fait.
- il faut dans une certaine mesure, utiliser un terminal et taper une ligne de commande. Etape marquante pour celles et ceux qui n’ont encore jamais eu l’occasion d’utiliser un terminal.
Il vaut mieux être accompagné quand c’est possible si cette vérification est la première du genre qu’on réalise. Sinon, il faut suivre les instructions pas à pas sans omettre aucune ligne.
Une fois cette vérification faite, l’utilisateur ou l’utilisatrice peut placer une confiance assez importante dans son outil. Il n’en reste pas moins nécessaire d’être attentif à ses usages ; beaucoup d’erreurs sont faites en lançant à la fois des requêtes sensibles sur le navigateur Tor et des requêtes banales sur un autre navigateur. Le risque est grand de livrer des informations sensibles en se trompant de navigateur. Bien compartimenter ses usages est une prudence élémentaire à avoir
Footnotes
J’utilise un VPN pour montrer comment avec Tor on peut accéder depuis une IP située en Russie à des sites occidentaux censurés en utilisant Tor. Le support de ma formation est sur Zenodo.↩︎