# Systmes > Windows > Scurit >  tor sr ou pas ?

## janor

Je suis tomb par hasard sur un article dmontant le ct scuritaire de TOR:
http://arquilliere.blog.rhonealpesjo...et-la-securite

Je voulais l'installer sur un proxy, d'aprs l'article il serait surtout une source d'inscurit, qu'en pensez vous ?

----------


## kaymak

Hello,

Je pense que c'est assez clair dans le billet. Tu peux aussi lire ceci http://arstechnica.com/security/news...-passwords.ars et ceci http://en.wikipedia.org/wiki/Tor_(anonymity_network) ou http://www.xmcopartners.com/article-tor.html en cas de doute.

Je connaissais dj ce rseau de nom, mais ne l'avait jamais utilis, cet article est trs intressant car je n'avais pas du tout conscience de ces lacunes.

Par contre je suis tonn de constater qu'aucune contre mesure ne soit dj install : /


bref. A ne pas utiliser de prfrences, ou bien peut tre seulement sur lynx xd


a plus

----------


## sevyc64

Attention, contrairement  ce qui est dit un peu partout, y compris sur le site officiel, Tor ne garantie pas l'anonymat de la connexion, il ne fait que grandement compliquer la tache d'identification. Celle-ci devient dure  raliser, mais n'est pas impossible pour autant.

Ce qui est rarement dit aussi (il faut lire les petites lignes pour l'apprendre), c'est le "... de nombreux proxys ..." correspond en ralit  exactement 3 proxys. Le protocole Tor est constitu ainsi, qu'il ne fait jamais appel  plus de 3 proxys pour transporter un paquet.

----------


## janor

Ok, je vois, je comprends, en mme temps, ya pas beaucoup de monde sur TOR, dommage que le systme ait aiguis les crocs de certains...

Je suis sous linux, mais bon c'est clair que si tout les requins ont envahi le systme, linux ou pas, c'est un peu craignos...

Mais, bon il doit tre possible de faire un filtre sur un proxy, utiliser tor en fonction des sites... Le mettre en OFF par dfaut...

Si le proxy tourne sur ubuntu serveur  jour et un minimum scuris, a devrait limiter les risques quand mme...

Parce que sinon pour tre anonyme sans passer par des proxy privs, ya plus qu' se mettre  la zombification, c'est pas tip top...  ::calim2::

----------


## sevyc64

Tor pour naviguer _(relativement)_ anonymement, OUI
Tor pour naviguer scuris, NON

Il faut simplement en garder conscience. Aprs ce n'est pas parce que les donnes peuvent tre interceptes qu'elles le seront automatiquement. Mais il faut juste faire attention  ne pas fournir d'informations critiques durant une session Tor.

Comme il a t dit dans les articles, pas de login/mdp durant une session Tor. On ne consulte pas non plus ses donnes bancaires, etc ....

Ensuite, pour activer/dsactiver Tor, il existe une extension pour Firefox, TorButton, qui permet d'activer/dsactiver rapidement l'utilisation du proxy par FF. Elle marche trs bien sous Windows, mais je ne sais pas si elle est compatible avec d'autres OS

----------


## janor

Ce qui m'ennuie surtout c'est quand ils disent que les pirates modifient le flux de donnes, c'est facile j'imagine de rajouter un javascript tout bte qui pointe sur un server et qui tente de t'envoyer des donnes pas gentilles  ::aie::  sur ubuntu il doit y avoir peu de risques mais bon c'est pas rassurant. Voir je sais pas, mais a doit de plus tre possible avec un javascript de dterminer ta vrai ip...  ::roll::  Dj je crois que sur windows, le javascript peut dterminer ton adresse MAC !!! (vu que le javascript s'execute en local).

Du coup installer tor sur un proxy n'est pas du tout l'idal mme avec des rgles de filtrage (dsactiv pour la banque, activ pour tout les sites de tracing par exemple).

Ou alors il faudrait se connecter avec thor  un proxy scuris de confiance qui accepte toutes les connexions en crypt, les redirige en clair, ainsi les pirates ne peuvent pas lire ou modifier les donnes transitant (ou difficilement), et pour tout le monde tu viens de ce proxy, si le proxy est analys et qu'on regarde ses logs on sait pas que c'est toi puisque t'es pass par thor... !

a doit se faire, mais surement trs compliqu  ::mouarf::

----------


## janor

J'ai trouv cela en passant:




> " Danger ! Surveillance constante ! Tor un systme anonyme, et quoi encore !
> 
> Attention, ds que vous vous connectez au rseau Tor, avant mme d'avoir navigu sur le net, votre ordinateur se connecte automatiquement avec tous vos ports libres sur des machines du Massachusetts Institute of Technology (avec le port 9031), ainsi que Harvard University et d'autres organismes d?tats au service de la recherche. Tout a, essentiellement grce  Vidalia, qui identifie votre IP.
> 
> Et si vous dcidez de lancer uniquement Tor, la Stanford university network se connecte par dfaut avec votre PC, ds le lancement de Tor.
> 
> Quoi que vous fassiez, vous tes identifi par des services institutionnel.
> 
> 
> Remarque, c'est pas con... Pour trouver ceux qui ont quelque chose  cacher il suffit de leur donner un logiciel qui les identifient eux et leurs fichiers crypts. "

----------


## cs_ntd

> ...


Euh...  ::aie::  Pas du tout  :8O: 

Vidalia ne se connecte pas, mais alors paaaas du tout  je sais pas ou... 

Il ne se connecte que sur localhost:9050 (port TOR normal) et localhost9051 (port config je crois...). Premier point.

Deuxime point, TOR se connecte en effet  beauuucoup d'endroits, et qui changes au fur et a mesure du temps...
Un exemple :


```

```

En fait ces serveurs sont les noeuds TOR par lesquels vous aller passer...

Ensuite, TOR est assez scuris en ce qui concerne la protection des donnes (pas d'interception en cours de route. Je vous invite  lire ces 2 articles :

http://bluetouff.com/2010/10/05/anon...nsez-anonymes/
http://bluetouff.com/2010/10/17/anon...urs-promesses/

----------


## janor

> la Stanford university network se connecte par dfaut avec votre PC


Au risque de dire une btise, l'auteur semble dire ,que le pc se connecte nul part, mais qu'il reoit une connexion.

*Soyons clair, mes notions de rseau sont limites.*

*Mais*  fortiori les noeuds utiliss par tor,  sont des anonymes, des ips non ? 

Alors pourquoi on trouve deux universits sur ton log ? 
http://www.uni-duesseldorf.de/
http://www.pw.edu.pl/
(pour ton exemple)

Le code source est disponible...
je cherche pas  dtruire tor, juste  voir jusqu' quel point on peut lui faire confiance...

----------


## cs_ntd

> *Mais*  fortiori les noeuds utiliss par tor,  sont des anonymes, des ips non ? 
> 
> Alors pourquoi on trouve deux universits sur ton log ? 
> http://www.uni-duesseldorf.de/
> http://www.pw.edu.pl/
> (pour ton exemple)


Attention  ne pas tout confondre. Oui, les IP sont des universits. C'est "normal", parceque beaucoup de noeuds tor sont installs dans des universits.

Ensuite, mon log indique aussi bien les connections que serveurs locaux, et les processus en mode non connects (UDP).

Donc en gros, a indique si je suis connects a quelquechose, si quelquechose est connect  moi, si j'envoi quelquechose, ou si j'en reois.
Or l (j'ai pris tous les processus tor ou vidalia), rien ne se connecte  mon pc...

De plus, ce n'est pas parcequ'une IP  une entre DNS (brama.elka.pw.edu.pl) qu'elle n'est pas anonyme. En fait une IP anonyme ne veut rien dire. C'est juste une IP quoi  ::aie:: 

Pour mon log, il faut le lire de cette manire :



```

```

----------


## cs_ntd

> je cherche pas  dtruire tor, juste  voir jusqu' quel point on peut lui faire confiance...


Tor pour fonctionner  forcemment besoin de se connecter  un annuaire de relais (architecture semi-centralise). Une fois la liste rcupre, il contact les noeuds pour rcuprer les cls de cryptage, encrypte les paquets "en oignon", puis les envois au premier noeud.

Tor n'anonymise pas vraiment. En fait, il rend "impossible" la lecture des paquets en chemin, et permet de ne pas connaitre la source directe des paquets (adresse IP). Ce n'est pas pour cela que l'on est anonyme. Il y a tout un tas de "signatures" qui peuvent nous trahir. Mais c'est relativement "indpendant" de tor.

----------


## janor

Ok, merci pour les prcisions sur les connexions au lancement de tor ! 
Je suis en train de lire la doc de tor, c'est plus simple je pense pour bien comprendre  ::oops::  !

----------

