[Tor] noeud de sortie pourri ?

[falke]

salut,

j'expérimente Tor depuis 2, 3 jours...

Encore peu sensibilisé aux précautions à prendre je me suis connecté via le navigateur à mon gmail.

Et là patatra

1) gmail refuse la connection à cause d'ip de connection inhabituelle, question chapka

2) Je finis par pouvoir me connecter via Tor en acceptant si je me souviens bien un certificat (quel con, trop de confiance), ce qui ne m'est jamais arrivé jusqu'alors sur gmail.

3) Aujourd'hui , je reçois deux mél démon de gmail que j'ouvre et là je découvre avec stupeur que j'aurais envoyé à plusieurs personnes un message avec un lien (spam ) que les serveurs smtp des correspondants ont refusé. Probablement toujours en raison du blacklistage de certaines adresses de Tor)

Conclusion, je crois bien que mon compte a été piraté par une attaque type phishing. Changement immédiat du mot de passe etc..

Question donc :

Pensez vous que Tor ça craint ? après tout la sécurité repose sur le maillon le plus faible ; le noeud de sortie qui envoit en clair au site visité. Mais quid de la personne qui s'occupe de ce noeud si elle est mal intentionnée ?
Gmail est en https pourtant et j'ai bien fait attention à ça.

Me conseilleriez vous d'abandonner cette chose, ou de prendre à l'avenir certaines précautions ?

Edit : je précise que j'utilise Tor non pas pour faire des choses illégales, mais pour échapper à l'espionnage commercial etc. A ce niveau je me demande si privoxy ne serait pas plus adapté à mes attentes

merci pour vos connaissances

[Tucnacek]

Loin d'être un spécialiste, je peux néanmoins te rediriger vers quelques liens.
# À propos de la demande de CAPTCHA qui n'est donc pas étonnante.
# Une vielle page (2006) prétendant que Tor et Gmail ne font pas bon ménage (je laisse à plus compétent que moi l'analyse du contenu). D'autres pages semblent annoncer la même chose, comme celle-ci par exemple
# À propos du "cookie hijacking" Je crois que c'est encore d'actualité, mais je ne suis pas certain, encore une fois par manque de compétence. La page est de 2008.

En ce qui concerne ton expérience, question "bête" as-tu vérifié les "messages envoyés" ?

De manière plus générale, l'intérêt de Tor est de pouvoir conserver l'anonymat. S'authentifier auprès de sites comme ceux de google, friands de données et d'insertion de cookies, me semble aller en complète contradiction avec le résultat souhaité. Enfin, je crois qu'il a été prouvé que le "https" n'était plus, depuis quelques temps déjà, une véritable protection (impossible de me souvenir de l'origine de l'information, je mettrais un lien si je parviens à la retrouver).

Comment te conseiller de poursuivre l'utilisation de Tor ou de l'arrêter ? Il faut surtout suivre les consignes de base pour ne pas se faire avoir (ne pas utiliser d'autres navigateur sans prendre de précautions, ne pas partager des fichiers, ne pas ouvrir des pdf en ligne, etc.). Tor est tout de même assez "restrictif" (youtube, modification de wikipedia, etc.). Une connexion plus "traditionnelle" peut aussi avoir quelques avantages.

[falke]

Salut,

merci pour les liens que je vais consulter attentivement

En ce qui concerne ton expérience, question "bête" as-tu vérifié les "messages envoyés" ?

réponse oui : il s'agissait de spam avec un lien dans le corps du message vers je ne sais quel site louche.

# À propos du "cookie hijacking" Je crois que c'est encore d'actualité, mais je ne suis pas certain, encore une fois par manque de compétence. La page est de 2008.

oui, j'ai vu ça mais impossible de retrouver la page. En tout ca pour un début, c'est une très mauvaise surprise

De manière plus générale, l'intérêt de Tor est de pouvoir conserver l'anonymat. S'authentifier auprès de sites comme ceux de google, friands de données et d'insertion de cookies, me semble aller en complète contradiction avec le résultat souhaité.

je suis d'accord mais bon, quand on créé un compte sur un site c'est qu'a priori (on devrait) lui accorder sa confiance. Mais
1) gmail c'est un accès https
pour le reste c'est sûr qu'il doit y avoir mieux que gmail pour la confidientialité des données

Tor est tout de même assez "restrictif" (youtube, modification de wikipedia, etc.). Une connexion plus "traditionnelle" peut aussi avoir quelques avantages.

oui , il faut apparemment banir tout ce qui peut contenir des javascripts flash, pdf et je ne sais quels autres ça peut vite devenir pénalisant. Bon et mauvais js c'est une question que je ne maîtrise pas

[benjarobin]

en acceptant si je me souviens bien un certificat

Voilà ton erreur... Ne jamais accepter un certificat inconnu, sauf pour des sites comme ArchLinux ! Surtout pas pour des sites officiels et populaires.

Tu as juste donné ton mot de passe à un nœud tor, tu n'étais pas connecté à Gmail, mais à un faux site...

[Ypnose]

Si tu veux essayer de préserver ton anonymat, j'aurai plutôt tendance à te conseiller un VPN, plutôt que TOR. TOR est un outil merveilleux, mais il beaucoup utilisé à des fins "mafieuses", ce qui selon moi fait perdre pas mal d’intérêt.
Quand je navigue sur Internet, je cherche à être moins surveillé, mais pas au dépend de la sécurité. Si je dois à chaque fois me poser des questions par rapport à des sites frauduleux ou non, on n'est pas sorti de l'auberge. J'ignore aussi si tu peux sélectionner un nœud précis, qui soit vérifié et sûr mais ça pourrait être une solution.
Avec un VPN, ta connexion sera chiffrée et tu auras quand même un certaine marge de manœuvre / liberté. Après, je te conseille également de ne pas prendre le premier VPN gratuit que tu trouves. Selon moi, si tu veux un bon VPN avec une bonne qualité, tu devras payer quelques euros. Renseigne-toi, cherche le meilleur qui soit adapté à tes besoins.

[Tucnacek]

De manière plus générale, l'intérêt de Tor est de pouvoir conserver l'anonymat. S'authentifier auprès de sites comme ceux de google, friands de données et d'insertion de cookies, me semble aller en complète contradiction avec le résultat souhaité.

je suis d'accord mais bon, quand on créé un compte sur un site c'est qu'a priori (on devrait) lui accorder sa confiance. Mais
1) gmail c'est un accès https

Sauf que le https n'est plus sûr. Même Le Monde en parle.

Tor est tout de même assez "restrictif" (youtube, modification de wikipedia, etc.). Une connexion plus "traditionnelle" peut aussi avoir quelques avantages.

oui , il faut apparemment banir tout ce qui peut contenir des javascripts flash, pdf et je ne sais quels autres ça peut vite devenir pénalisant. Bon et mauvais js c'est une question que je ne maîtrise pas

Flash est désactivé par défaut dans Tor. En revanche, Java fonctionne. L'idée étant que l'utilisation de Tor risquerait de rebuter les internautes sans. Pour les curieux, vous trouverez ici la justification officielle. Cela me semble assez particulier comme point de vue lorsque l'on sait à quel point Java est à l'origine de failles. Une petite recherche rapide m'a permis de tomber sur une tonne de liens : celui-ci mais aussi celui-là, ou encore celui-ci. J'en passe, il y en a beaucoup d'autres. Il semble évident que lorsque l'on corrige 40 failles de sécurité d'un coup, c'est qu'un souci peut arriver. Le wikipedia anglophone a même une page dédiée au sujet Java & sécurité.
Enfin, la recommandation de l'ANSI :

Concernant ce dernier point, il est à noter que le blocage de certains contenus (javascript, flash), même s’il est primordial du point de vue de la sécurité est souvent perçu comme difficile voire impossible car l’accès à l’information nécessite l’utilisation de ces technologies. Il est cependant important qu’au minimum, ces technologies soient désactivées sur les machines sur lesquelles leur utilisation n’est pas strictement nécessaire.

De manière générale, les "acharnés de la sécurité" (à défaut d'un terme plus adapté et moins péjoratif) recommandent, comme, par exemple, le site prism-break.org d'utiliser NoScript. Le souci étant que la mise en place de listes blanches est alors source d'insécurité (voir le lien à propos de Tor ci-dessus) alors que le but de NoScript était justement de ne pas prendre de risque. Le souci donc avec Tor est qu'il n'y a pas de demie mesure. C'est tout ou rien.

TOR est un outil merveilleux, mais il beaucoup utilisé à des fins "mafieuses", ce qui selon moi fait perdre pas mal d’intérêt.

Je ne suis pas certain que l'utilisation malhonnête de Tor par certains utilisateurs (beaucoup ? C'est assez difficile à quantifier) en diminue tant que cela l'intérêt. Le souci me semble plutôt venir d'une logique retorse qui veut que seul l'utilisateur qui a quelque-chose à se reprocher cherchera l'anonymat. Donc, dès qu'un internaute choisit Tor, il devient suspect. Donc, plus vous cherchez à vous cacher, plus vous serez surveillés. L'utilisation de Tor permet, en théorie du moins, de se prémunir du problème mais il ne faut pas faire d'erreur.

Quand je navigue sur Internet, je cherche à être moins surveillé, mais pas au dépend de la sécurité. Si je dois à chaque fois me poser des questions par rapport à des sites frauduleux ou non, on n'est pas sorti de l'auberge.

+1 ! Mais je considère la découverte de Tor (ce qui était le cas de falke) comme une expérience intéresante.

J'ignore aussi si tu peux sélectionner un nœud précis, qui soit vérifié et sûr mais ça pourrait être une solution.

Oui, il faut modifier le torrc (ou le code-source).

Selon moi, si tu veux un bon VPN avec une bonne qualité, tu devras payer quelques euros

Malheureusement, il faut de plus en plus faire appel au porte-monnaie pour certains services. Je pense également au adresses électroniques par exemple.

[Ypnose]

Flash est désactivé par défaut dans Tor. En revanche, Java fonctionne.

Pas forcément. Si tu utilises un navigateur autre que Firefox (ou Tor Browser) comme dwb, luakit ou uzbl, tu peux parfaitement désactiver les plugins Java (je crois qu'on peut aussi le faire avec FF) ou même ne pas installer Java sur ton système. Dans ce cas-là, tu ne seras pas touché par une éventuelle faille. Et puis à vrai dire, on peut très bien se passer de ce plugin, pour Internet.

Mais je considère la découverte de Tor (ce qui était le cas de falke) comme une expérience intéressante.

Nous sommes parfaitement d'accord. Mais je trouve ça dommage qu'à peine essayé, falke ai déjà des soucis.

Malheureusement, il faut de plus en plus faire appel au porte-monnaie pour certains services. Je pense également au adresses électroniques par exemple.

Ouai, je suis encore de ton avis. Mais après, je me dit aussi que je préfère payer des euros pour une boite mail respectueuse, plutôt que de ne pas savoir ce que l'on fait avec mes données. Je pense également qu'il est désormais impossible de pouvoir réclamer de l'anonymat et de la protection, sans payer à un moment ou à un autre.

[Tucnacek]

Flash est désactivé par défaut dans Tor. En revanche, Java fonctionne.

Pas forcément. Si tu utilises un navigateur autre que Firefox (ou Tor Browser) comme dwb, luakit ou uzbl, tu peux parfaitement désactiver les plugins Java (je crois qu'on peut aussi le faire avec FF) ou même ne pas installer Java sur ton système. Dans ce cas-là, tu ne seras pas touché par une éventuelle faille. Et puis à vrai dire, on peut très bien se passer de ce plugin, pour Internet.

Nous étions dans une optique de découverte de Tor par un débutant et les conseils pour ces utilisateurs sont assez clairs : il faut utiliser le navigateur fourni par Tor, lequel inclu Java par défaut. Je suis d'accord qu'il est possible de ne pas l'installer sur son système, ou de le bloquer via, par exemple, NoScript, et ce, même sans naviguer via Tor et que ce peut être une bonne idée.

[HS]Je viens de faire une micro-recherche à propos de dwb, luakit et uzbl, je ne les connaissais pas, merci de me les faire découvrir (un tout petit peu) ainsi. Les utilises-tu ? Que donnent-ils ? [/HS]

Mais je trouve ça dommage qu'à peine essayé, falke ai[t] déjà des soucis.

Je ne peux qu'être d'accord. Néanmoins, il est quand même précisé qu'utiliser Tor nécessite de prendre des précautions. Et ici, comme le dit Benjarobin, le souci est manifestement d'avoir accepté un certificat inconnu, ce qui est à éviter, via Tor mais aussi via l'internet "traditionnel".

Malheureusement, il faut de plus en plus faire appel au porte-monnaie pour certains services. Je pense également au adresses électroniques par exemple.

Ouai, je suis encore de ton avis. Mais après, je me dit aussi que je préfère payer des euros pour une boite mail respectueuse, plutôt que de ne pas savoir ce que l'on fait avec mes données. Je pense également qu'il est désormais impossible de pouvoir réclamer de l'anonymat et de la protection, sans payer à un moment ou à un autre.

Je suis d'accord, d'ailleurs mon commmentaire le laisse entrevoir mais je m'attendais à ce que tu réagisses à cela (puisque j'ai déjà pu te lire t'exprimer à ce sujet). Je restais simplement dans une optique utopique. Néanmoins, si l'on y réfléchit un peu, cette optique pourrait ne pas être utopique puisque, après tout, nous utilisons un système qui est gratuit mais qui a demandé à beaucoup de personnes de s'investir à différents niveaux et ce jusqu'à produire Archlinux qui peut soutenir sans sourciller la comparaison avec des OS payants. S'il est possible d'avoir un OS gratuit de grande qualité, nous pourrions également rêver un service de messagerie électronique également libre, open-source, gratuit et d'excellente qualité, sans publicité, sans appropriation des données, etc.

[falke]

Merci pour ce débat très intéressant.

Ceci dit le problème à la base, c'est que quasi tout le monde aurait accepté un certificat de sécurité venant d'un site qui a pignon sur rue.
Et puis des certificats ça sert à quoi hein ? ) et puis perso c'est pas la première fois que je vois des certificats périmés sur des sites pourtant officiels

quelqu'un pourrait-il me donner un lien sur la configuration de privoxy + tor et éventuellement privoxy tout seul ?

[Ypnose]

Tucnacek: J'ai utilisé dwb pendant un moment, mais je n'ai pas continué à cause d'un bug intermittent provoquant une conso CPU à 100%. C'est un navigateur agréable. Luakit est pas mal aussi (mais je ne suis pas trop copain avec les deps Lua).
Personnellement, j'utilise Firefox ainsi que surf. surf est assez "simpliste" mais il est efficace et extensible, si tu débrouilles bien avec ton shell.
J'adhère totalement à ton dernier paragraphe. Par rapport aux services de messagerie électronique libre et gratuit, ça existe. Tu as par exemple Legtux, Mailoo ou Toile Libre. Mais je pense que fournir gratuitement un tel service est cependant assez difficile. Tu dois louer un serveur chez un hébergeur, ce qui implique de débourser mensuellement une certaine somme d'argent et le prix est parfois conséquent.
De tels projets ont besoin d'un financement externe, que ce soit des dons ou des comptes payants, mais qui comportent plus de fonctionnalités. Tu sais si j'en avais les moyens, je serai prêt à fournir un service similaire, qui réponde aux besoins que tu as décris, mais je suis malheureusement freiné par l'aspect pécuniaire.

[Tucnacek]

Merci beaucoup pour toutes ces informations. Pour le moment, pour la navigation "traditionnelle", j'utilise Firefox, dopé aux add-ons et cela me convient. Lorsque je retrouverais mon tempérament aventureux, j'envisagerais alors probablement de tester ceux que tu me fais découvrir (encore un avec surf, merci).

Mais je pense que fournir gratuitement un tel service est cependant assez difficile. Tu dois louer un serveur chez un hébergeur, ce qui implique de débourser mensuellement une certaine somme d'argent et le prix est parfois conséquent.

Oui, c'est la grande faiblesse de ma comparaison avec la maintenance et le développement d'une distribution Linux ou BSD. Si ces distributions comme les services de messagerie demandent des compétences et du temps, ces derniers services requièrent également une "infrastructure" plus conséquente, laquelle entraîne immanquablement des frais de fonctionnement. Je comprends donc le besoin de facturer le service afin d'assurer le paiement de ladite "infrastructure" sans retard. Un système de financement par les dons, s'il peut parvenir au même résultat pour l'utilisateur, avec le bonus toutefois de l'impression de "payer de lui-même", ne produit pas le même stress pour l'entreprise, ou l'association, qui doit s'assurer de ne pas avoir a payer avec ses fonds ce que les utilisateurs n'auraient pas voulu ou pu donner pour récompenser le service.

Tu sais si j'en avais les moyens, je serai prêt à fournir un service similaire, qui réponde aux besoins que tu as décris, mais je suis malheureusement freiné par l'aspect pécuniaire.

Je ne doute ni de tes convictions, ni de leur intérêt et je suis persuadé que tu penses sincèrement ce que tu as écrit.

[falke]

Salut,

suite à ma mésaventure lors de l'utilisation de Tor + gmail

voici le lien qui confirme l'utilisation de certificats frauduleux pour mener des attaques de type man in the middle, notamment via les noeuds de sortie de Tor

http://productforums.google.com/forum/# ... J3r2JqFNTw

le pire c'est que chrome protégeait contre ce type d'attaque mais visiblement pas le navigateur de Tor qui utilise Firefox

[FoolEcho]

Ceci dit le problème à la base, c'est que quasi tout le monde aurait accepté un certificat de sécurité venant d'un site qui a pignon sur rue.

Le hic est effectivement une grosse méconnaissance des utilisateurs à ce niveau (qui devraient néanmoins avoir la puce à l'oreille puisque d'un coup on leur propose un certificat dont il n'ont jamais entendu causer auparavant).

Et puis des certificats ça sert à quoi hein ? ) et puis perso c'est pas la première fois que je vois des certificats périmés sur des sites pourtant officiels

Parce que ça peut en éclairer certains, je développe ton happeau à troll.
À garantir que le site qui le présente n'est pas une contrefaçon. Comment ? Via une chaîne de confiance (le principe est identique au système de signature des paquets via pacman-key, sauf que l'on utilise pas de certificats mais juste les clés): tel site présente un certificat qui est signé par d'autres dits de confiance (ils ont payé des droits à des sociétés type VeriSign qui sont celles qui gèrent les DNS de base du web: et c'est pourquoi la vérification est typiquement transparente pour l'utilisateur final).
Et comme falsifier ou casser un certificat est difficile, l'attaquant va l'essentiel du temps faire une attaque de l'homme du milieu, comme ici en glissant son propre certificat qui n'a aucune valeur ou juste en proposant des redirections sur des faux sites (fishing pour récupérer identifiant et mot de passe que l'utilisateur lui fournit si gentiment).

Quant à un certificat périmé, c'est effectivement «mal» et l'utilisateur ne devrait pas non plus consulter le site car l'autorité de certification ne garantit plus son authenticité (c'est un processus normal cependant, il faut les renouveler).

[Ypnose]

.

[Tucnacek]

falke: Tu ne devrais pas mettre le lien (même si j'ignore de quoi il est question exactement), car il y a forcément un mec qui va cliquer et qui va pas s'en rendre compte. Essayons d'éviter les problèmes.

J'ai peur de ne pas comprendre quel est le problème avec le lien en question. Pourrais-tu m'expliquer ?

[falke]

@ alors Ypnose, t'es maître du Kyudo non ?

ce lien c'est un simple article sur un forum google qui contient un lien vers une annonce officielle de google au sujet de ce problème d'attaque Man in the Middle sur son site gmail et autres.

[Ypnose]

Ah, je n'avais pas cliqué sur le lien. J'ai fait une erreur, ne tiens pas compte de mon commentaire. Sinon, je ne vois pas trop en quoi être "Maitre du Kyudo" ou non, à un rapport.