Les services VPN fleurissent et prospèrent à tel point qu'on peut difficilement échapper à une publicité ou un parrainage.
Il est cependant possible de disposer de son propre service VPN gratuit en utilisant Tor.
Un VPN est-il utile ?
Au départ fondé sur l'ouverture et la transparence, Internet est devenu un outil malléable, touchant à tout, y compris notre propre intimité même lorsque nous sommes en dehors de chez nous, que ce soit pour échanger avec nos proches, consulter l'état de nos finances, …
La protection des données et de la vie privée sont devenus des pré-requis à la navigation tant et si bien que la plupart des sites sont aujourd'hui chiffrés en SSL et restent généralement sûrs. Les moteurs de recherche vont même jusqu'à déclasser les sites qui ne disposent pas d'une sécurité suffisante.
Cependant, il existe des cas où cette protection fait défaut.
Lors de l'usage d'un WiFi public : une personne mal intentionnée peut aisément s'intercaler en positionnant un point d'accès sur lequel il aura pris soin d'installer des outils destinés à briser la sécurité grâce à une attaque d'homme du milieu.
Pour accéder à des contenus géo-localisés : certains services ne sont disponibles que pour des individus se situant sur un territoire donné. Un citoyen en vacances à l'étranger ne peut donc pas consulter des services de son propre pays.
Dans les autres cas, un VPN n'a que peut d'intérêt même si un fournisseur de service VPN nous explique le contraire car, bien entendu, il nous propose également la solution au problème, solution qu'il facture. Plus nous aurons peur, plus nous serons disposés à payer cher pour notre tranquillité d'esprit.
Il est cependant possible de disposer des fonctionnalités d'un VPN – même plus sécurisées – sans débourser un seul centime.
Pour cela, il suffit d'utiliser Tor.
Qu'est-ce que Tor ?
Pourquoi «TOR» ?
TOR signifie The Onion Router, nom hérité de sa méthode de fonctionnement qui encapsule le contenu acheminé dans une enveloppe chiffrée. Chaque nœud du réseau encapsule le message reçu créant alors une couche de plus comme celle d'un oignon. Il n'y a donc pas un seul chiffrement mais autant qu'il y a de nœuds pour acheminer le message de sa source vers sa destination – en général 3, tout dépend de la configuration, mais il n'est pas conseillé de le changer car un plus grand nombre de nœuds pourrait induire une sécurité plus faible.
Ce chiffrement en couches rend donc très difficile l'accès à l'information. Pour y arriver, il faudrait ôter toutes les couches de chiffrement, chaque nœud ayant sa propre clef connue de lui seul.
Qui est derrière ?
À l'origine, Tor a été développé par la marine américaine afin de disposer d'un moyen de communication impénétrable et donc sûr. Encore aujourd'hui, cette institution reste le principal contributeur ce qui fait donc que Tor n'est pas un logiciel libre de plus développé dans un coin par des pirates malveillants mais bien un outil officiel soutenu par des administrations et des gouvernements.
Tor a une très mauvaise réputation parce qu'il est un outil qui permet de faire le bien – protection de l'intimité, anonymat des sources et des lanceurs d'alerte – comme le mal – traffic de drogue et d'armes, pédopornographie – tout en étant suffisamment efficace pour compliquer la vie des autorités. Ne le nions pas : Tor a aussi une mauvaise réputation parce que les journalistes lui donnent une mauvaise réputation du simple fait que, par déformation professionnelle, « ceux qui n'ont rien à cacher n'ont rien à craindre ». Par conséquent, selon le raisonnement inverse : celui qui se cache a donc quelque chose à craindre. Sitôt qu'on utilise Tor, on devient donc suspect.
Tor est-il sûr ?
Nous l'avons vu, Tor a été pensé par la marine américaine. Certaines rumeurs font courir le bruit que le code serait alors corrompu exprès pour accéder aux communications.
Cependant, Tor est un logiciel libre dont le code est ouvert et auditable. Si une porte dérobée existait, elle aurait été rapidement identifiée.
La « fragilité » de Tor repose cependant sur ses nœuds : il est tout à fait possible qu'une personne mal intentionnée modifie le code de son nœud afin d'espionner le traffic. Mais n'oublions pas non plus que le réseau repose sur plusieurs nœuds et que le chemin emprunté change régulièrement, ce qui rend d'autant plus difficile la corruption de la sécurité. Même la corruption d'un nœud de sortie ne suffirait pas à corrompre le chiffrement complètement. Cette fragilité théorique est plus difficile à mettre en pratique.
Récemment, le groupe KAX17 a installé 900 serveurs corrompus. Même si la sécurité est compromise, pour lever le pseudonymat il faudrait passer par 100% de machines corrompues… défaut qui peut être aisément contourné en installant et utilisant son propre relais.
La mauvaise réputation de Tor est paradoxalement une preuve que le réseau est sûr. Utilisé normalement, il n'est pas moins sûr que n'importe quel VPN. Il dispose même d'une configuration spéciale pour une sécurité maximale.
Tor contre VPN
Inconvénients
Parce que les services VPN sont payants, ils sont financés par leurs clients et les fournisseurs peuvent donc passer du temps à développer un produit aisé à configurer et utiliser.
Tor étant un logiciel libre de sécurité, il est donc, par nature, compliqué à utiliser pour le commun des mortels sitôt que ce dernier désirera un usage sortant un peu de l'ordinaire.
Les deux défauts majeurs de Tor sont sa localisation et sa vitesse. Excepté pour la version mobile, il n'est pas possible de choisir aisément sa localisation ou de modifier sa vitesse sans passer par un fichier de configuration abscond à modifier.
Cependant, tout comme les VPN, Tor repose sur des centaines de serveurs répartis dans le monde entier. En fixant le nœud de sortie, il est donc possible de préciser une localisation.
Avantages
Tor est un logiciel libre. Tout – ou presque – peut être changé. Tout dépend de l'investissement en temps et en énergie que nous sommes disposés à y mettre.
Cependant, changer la localisation et la vitesse est possible, ainsi qu'un tas d'autres paramètres. Il faut simplement ouvrir le fichier de configuration, modifier le paramétrage adéquat écrit en clair et généralement assez bien documenté avec des exemples.
Un VPN ne fait qu'un tunnel entre le serveur VPN et votre machine. Ce serveur ne sert que de serveur de proximité qui possède sa propre localisation, sa propre adresse IP. Une fois que vous sortez du tunnel, votre navigation est normale, exceptée qu'elle semble provenir de ce serveur et non de votre machine.
Tor constitue un réseau reposant sur différents nœuds : des relais et des sorties. Les relais servent simplement de relais entre deux nœuds. Le nœud de sortie fait le pont entre l'Internet normal – public et non chiffré – et le réseau Tor.
Contrairement aux VPN, il est tout à fait possible de naviguer de façon complèment invisible car si le site est disponible aussi sur Tor – ce qui est le cas du site sur lequel vous vous trouvez actuellemment – vous n'avez alors pas besoin de sortir du réseau, rendant alors la localisation inutile. Chaque nœud relais agit comme un serveur VPN.
Pour les usages en dehors du réseau Tor, il est aussi possible d'utiliser ou de fabriquer des outils qui se chargeront à notre place de modifier la localisation en influant sur les nœuds de sortie. Conformément à sa nature open source, la liste des nœud de sortie est publique.
Tor Location Switcher : pour choisir sa localisation
Comme je trouve idiot de devoir modifier le fichier de configuration à la main pour changer de localisation chaque fois que j'en ai besoin, j'ai développé un outil qui permetta de le faire aisément depuis une interface agréable et simple.
Installation : Linux + Tor Browser
Oui, parce que mes machines tournant sur Linux, j'ai développé cet outil pour Linux. La force de ce système d'exploitation est justement de pouvoir développer aisément des outils afin d'étendre les fonctionnalités de la machine, comme c'est le cas présentement.
Télécharger les sources depuis GitLab et décompresser l'archive.
Télécharger le Tor Browser depuis le site officiel et décompresser l'archive.
Le Tor Browser est une version de Firefox incluant un client Tor déjà pré-configuré pour se connecter au réseau.
Lancer le navigateur et activer Tor afin de le forcer à générer tous les fichiers de configuration puis fermer le navigateur pour arrêter le service.
Le fichier torrc se trouve alors dans le répertoire : (répertoire installation Tor Browser)/Browser/TorBrowser/Data/Tor/torrc
Se rendre dans le répertoire tor-location-switcher et lancer soit la version tor-location-switcher-gui.sh si vous disposez d'un système Linux avec Zenity – comme Ubuntu – soit la version tor-location-switcher-cmd.sh – ligne de commande – si vous ne disposez pas de Zenity.
Version graphique tor-location-switcher-gui.sh
La première question posée est la localisation du fichier torrc. Se rendre à l'endroit en question et sélectionner le fichier torrc.
Normalement, ce fichier se trouve à : (répertoire installation Tor Browser)/Browser/TorBrowser/Data/Tor/torrc
Cette question ne sera posée qu'une seule fois. Le même fichier sera utilisé les fois suivantes.
Choisir ensuite le(s) pays désiré(s) dans la liste.
Il est possible d'en sélectionner plusieurs
Valider… et c'est tout. Redémarrer le Tor Browser, activer Tor.
Les fois suivantes : le fichier torrc ne sera pas demandé. Les configurations sont sauvegardées et proposées.
Pour définir une nouvelle configuration, il suffit d'annuler cette proposition, ce qui aura pour effet de proposer la liste des pays à sélectionner. Pour choisir une ancienne configuration, il suffit de la sélectionner et de valider.
Une fois le script achevé, relancer le Tor Browser.
Version ligne de commande tor-location-switcher-cmd.sh
La première question posée est la localisation du fichier torrc. Se rendre à l'endroit en question et sélectionner le fichier torrc.
Normalement, ce fichier se trouve à : (répertoire installation Tor Browser)/Browser/TorBrowser/Data/Tor/torrc
Cette question ne sera posée qu'une seule fois. Le même fichier sera utilisé les fois suivantes.
La deuxième question demande le code ISO du pays de localisation :
Entrez un pays, par exemple DK, pour Danemark :
Le programme identifie le pays et vous demande de confirmer.
Il vous demande ensuite si vous voulez ajouter un autre pays.
Si vous confirmez, alors il vous demandera un autre pays (par exemple FI, NO, SE,…) , et ainsi de suite, jusqu'à ce que vous ayez achevé en entrant N (Non).
Les fois suivantes : le fichier torrc ne sera pas demandé. Les configurations sont sauvegardées et proposées.
Vous pouvez choisir la configuration à partir de son numéro, ajouter une nouvelle, ou annuler en sélectionnant le numéro correspondant.
Une fois le script achevé, relancer le Tor Browser.