Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Philippe Bourcier: > Tout le monde sait bien que la moitié des points de sortie Tor sont ownés > par la NSA et ses amis... d'où le VPN. Parce que la NSA serait capable d'écouter les nœuds Tor mais pas un serveur de VPN ? La corrélation de traffic sur un serveur VPN est trivial (rentre la même chose qui sort, le plus vite possible). Donc il suffit d'avoir une sonde sur le réseau pour savoir quelle IP correspond à quelle IP. C'est plus difficile de monter une telle attaque contre Tor. > Enfin, c'est pas parce que tu utilises du Tor/VPN que tu caches ton IP > réelle qui peut être chopée : > - via des protocoles comme WebRTC, SIP?, code client-side, etc > http://www.unhappyghost.com/2015/02/webrtc-killing-tor-vpn-ip-masking-privacy.html#axzz41Luiu26a C'est pour ça que le projet Tor recommande l'usage de Tor Broswer ou d'une distribution comme Tails. > Ou carrément ton identité : > - via un bon vieux cookie HTTP/Flash/etc, chez Google, FB, Amazon, etc... à > partir du moment où tu te log chez eux, c'est fini, tu n'es plus anonyme, Une chose méconnue à propos du Tor Browser, c'est qu'il isole circuits Tor et cookies par domaine (la partie en gras dans la barre du navigateur). Ça permet, si je me connecte à un compte Twitter, que Twitter ne puisse pas lier ce compte à l'article que je viens de lire sur un site d'actualité avec un bouton « Tweet ». Ce que fait techniquement Tor, c'est de dissocier le routage de l'identification. Ça redonne la possibilité de pouvoir décider si on souhaite s'identifier auprès d'un site et comment. L'anonymat est loin d'être le seul usage de Tor. -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Michel Py: > > Lunar a écrit : > > En plus des corrections mentionnés sur le blog, il faut maintenant > > d'avantage de bande passante > > et une plus grand anciennenté por devenir point d'entrée dans le réseau (« > > Guard node »). > > Ne pas sous-estimer les ressources des services de renseignements. Une > taupe, çà s'installe des années à l'avance; la bande passante n'est > pas un problème. Oui. Mais si c'est un seul Guard malveillant, il n'attrapera qu'une fraction du traffic (un client ne change que rarement du Guard). Et s'il y en a trop, ça se voit. Il est sûrement plus utile de partir du principe que la NSA surveillance des nœuds en surveillant leur connexion réseau plutot qu'en les faisant tourner directement. Mais cela ne permet pas d'attaques actives comme celle mentionnée auparavant. Jusqu'ici, on reste dans les paramètres des slides de la NSA fuités par Snowden [1] : seulement une petite partie des clients peuvent être désanonymiser sans qu'il soit possible de savoir qui à l'avance. [1]: https://edwardsnowden.com/wp-content/uploads/2013/10/tor-stinks-presentation.pdf > Tu crois que le gouvernement Chinois il n'a pas de noeuds Tor, aussi ? A priori, pas dans ceux avec beaucoup de bande passante. Ou alors les gens qui les font tourner sont des taupes en place depuis longtemps… -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Michel Py: > > Philippe Bourcier a écrit : > > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > > Avec ca, good luck pour te retracer... > > Ben justement, c'était bien l'idée de Tor : on passe par plusieurs noeuds / > réseaux et c'est tout chiffré et tout çà, je me demande si mettre une ou deux > couches de la même peinture par-dessus çà empêcherait de tracer. > > Est-ce que quelqu'un a vu les détails techniques expliquant comment les > chercheurs de Carnegie-Mellon sont arrivés à tracer Tor ? Les détails techniques ont été fournis sur le blog du projet lorsque la faille a été corrigé : https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack En plus des corrections mentionnés sur le blog, il faut maintenant d'avantage de bande passante et une plus grand anciennenté por devenir point d'entrée dans le réseau (« Guard node »). La surveillance de groupe de nœuds suspects a été renforcé, et les opérateurs des annuaires éjectent maintenant dès qu'il y a un doute — là où par le passé on les empêchait d'être utilisé comme nœud de sortie en se disait que le reste de la bande passante était toujours bonne à prendre. -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [MISC] Etre anonyme sur l'Internet
Philippe Bourcier: > >On savait très bien qu'en plus des utilisations légitimes, il y avait > >un grand nombre d'utilisateurs de Tor à des fins illicites. Ce qui est > >nouveau, c'est qu'il semblerait que Tor ne soit plus la panacée pour > >protéger l'anonymat. > > Eh bien pour les gens qui ont des choses à cacher, il y a le classique : > Toi ==> VPN1 ==> Tor ==> VPN2 ==> Internet > > Avec ca, good luck pour te retracer... Oui et non. Utiliser un VPN en plus de Tor rend plus facile des attaques par corrélation de trafic. On considère que c'est plus difficile d'écouter une connexion quelconque qu'un fournisseur de VPN. Par ailleurs, à moins de trouver un VPN qui accepte toutes connexions sans authentification, le compte utilisé chez le fournisseur de VPN rendre plus facile une identification. L'intérêt d'utiliser un VPN en sortie de Tor, c'est de contourner les sites qui bloquent Tor de façon irréfléchie [1]. Mais d'après le témoignage de plusieurs personnes [2], pour ce qui est de CloudFlare, c'est pas mieux. [1]: http://arstechnica.com/tech-policy/2016/02/some-websites-turning-law-abiding-tor-users-into-second-class-citizens/ [2]: https://bugs.torproject.org/18361 -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Michel Py: > > Lunar a écrit : > > Cela empêchera des personnes qui ont besoin de contourner des > > dispositifs de filtrages ou de censure d'accéder au réseau. > > D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je > ne critique pas Tor, je n'empêche pas les gens de s'en servir, je > comprends qu'il y a des personnes dont la liberté d'expression est > limitée qui en ont besoin, mais personne qui a besoin de dissimuler > son identité n'a besoin d'accéder mon réseau, donc je bloque. Tor sert à bien d'autres usages que celui de dissimuler son identité. C'est pour beaucoup de gens avant tout un outil permettant de contourner des restrictions d'accès. Même si ça peut paraître surprenant d'un point de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook. Utiliser Tor permet de reprendre le contrôle sur ses informations personnelles : on ne les partage que si on le désire, là où auparavant elles fuitaient hors de notre contrôle. Par ailleurs, je trouve un peu problématique d'associer identité et adresse IP. Au mieux une adresse IP est une indication géographique. Mais il existe de nos jours beacoup trop de points d'accès ouverts ou d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse continuer à considérer qu'une adresse IP permet d'identifier une personne. Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services privées, je peux comprendre le filtre. Ceci dit, il empêchera également de faire tourner un relai Tor à l'intérieur : un relai a besoin de pouvoir contacter tous les autres relais. -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Michel Py: > > Clement Cavadore a écrit : > > Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires > > utilisées, > > Voici la liste à ce moment précis, je suis plus qu'à l'écoute des > commentaires à ce sujet, il y a des améliorations à faire. > Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. > Pour d'autres, j'ai rien entendu comme retour. > Il y a surement des redondances, ce qui ne me dérange pas. Au final je > fabrique une liste unique. > > J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu > l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont > taggués en no-export et ne sont ni listés ci-dessous ni redistribués. > > "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey > Pot Directory of Dictionary Attacker IPs > "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1; # TOR > Exit Nodes Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer tous les points d'accès Wi-Fi publics (mais personne n'a compilé une telle liste à ma connaissance). Cela empêchera des personnes qui ont besoin de contourner des dispositifs de filtrages ou de censure d'accéder au réseau. Si l'enjeux c'est limiter des attaques, mieux vaut utiliser des systèmes qui limite le surblocage, non ? -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet
Salut, Thomas, en préambule, essaye de garder en tête que chaque message envoyé sur cette liste est reçu par plus de 4700 personnes. C'est donc plutôt une bonne idée d'essayer d'envoyer le moins de message possible, et avec le plus de contenu pertinent possible. Si chacune des personnes inscrites sur cette liste passe ne serait-ce que 10 secondes à lire puis effacer un message, c'est déjà 13 heures de temps humain utilisé… FanThomaS: > Les mecs qui ont fait "TOR 1.0" n'ont pas de maîtrise en cryptographie, je > préfère partir sur une bonne base. Je trouve la notion de Tor 1.0 très flou. L'histoire du routage en oignon [1] écrit par Paul Syverson explique les différentes itérations depuis 1995, et s'arrête à la naissance de Tor en 2004. Il y a eu ensuite 11 années de travail ininterrompu pour améliorer son fonctionnement. Le détails des évolutions est consigné dans un dépôt Git [2]. Pour une première approche, un résumé des changements depuis le premier papier de recherche a été écrit fin 2012 dans une série de billets sur le blog [3]. Ce serait donc intéressant de préciser de quoi tu parles. Par ailleurs, Tor étant utilisé par plusieurs millions de personnes à travers le monde, si tu avais connaissance d'un défaut dans son implémentation ou d'un problème non répertorié dans sa conception, il serait judicieux de prévenir en privé des membres du projet afin que nous puissions tenter d'y remédier au plus vite. Des vies sont peut-être en jeu. Par ailleurs, Tor n'est qu'un projet parmi de nombreux autres. Peut-être qu'il existe de « bonnes bases » ailleurs. Il est important de comprendre également que même si le travail sur le Tor Browser souhaite déjouer les méthodes identifiant les utilisateurs contre leur gré dans le monde du web, l'essentiel du projet travaille sur la couche réseau. C'est une brique importante, mais ne peut pas être la seule pour concevoir un environnement de communication procurant intimité et plein exercice des droits fondamentaux. De nombreux autres projets de recherche travaillent sur ces questions. anonbib [4] contient maintenant 431 références de publications étalées sur 38 ans. (Les membres du projet Tor écrive « Tor » plutôt que « TOR » : c'est un nom plutôt qu'un acronyme [5].) (Ah, et dire « les mecs », alors que Tor a au moins deux développeuses, c'est sexiste.) [1]: http://www.onion-router.net/History.html [2]: https://gitweb.torproject.org/torspec.git [3]: https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-1 https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-2 https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-3 [4]: http://freehaven.net/anonbib/ [5]: https://www.acsac.org/2011/program/keynotes/syverson.pdf (page 7) -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet
Salut, Thomas, en préambule, essaye de garder en tête que chaque message envoyé sur cette liste est reçu par plus de 4700 personnes. C'est donc plutôt une bonne idée d'essayer d'envoyer le moins de message possible, et avec le plus de contenu pertinent possible. Si chacune des personnes inscrites sur cette liste passe ne serait-ce que 10 secondes à lire puis effacer un message, c'est déjà 13 heures de temps humain utilisé… FanThomaS: > Les mecs qui ont fait "TOR 1.0" n'ont pas de maîtrise en cryptographie, je > préfère partir sur une bonne base. Je trouve la notion de Tor 1.0 très flou. L'histoire du routage en oignon [1] écrit par Paul Syverson explique les différentes itérations depuis 1995, et s'arrête à la naissance de Tor en 2004. Il y a eu ensuite 11 années de travail ininterrompu pour améliorer son fonctionnement. Le détails des évolutions est consigné dans un dépôt Git [2]. Pour une première approche, un résumé des changements depuis le premier papier de recherche a été écrit fin 2012 dans une série de billets sur le blog [3]. Ce serait donc intéressant de préciser de quoi tu parles. Par ailleurs, Tor étant utilisé par plusieurs millions de personnes à travers le monde, si tu avais connaissance d'un défaut dans son implémentation ou d'un problème non répertorié dans sa conception, il serait judicieux de prévenir en privé des membres du projet afin que nous puissions tenter d'y remédier au plus vite. Des vies sont peut-être en jeu. Par ailleurs, Tor n'est qu'un projet parmi de nombreux autres. Peut-être qu'il existe de « bonnes bases » ailleurs. Il est important de comprendre également que même si le travail sur le Tor Browser souhaite déjouer les méthodes identifiant les utilisateurs contre leur gré dans le monde du web, l'essentiel du projet travaille sur la couche réseau. C'est une brique importante, mais ne peut pas être la seule pour concevoir un environnement de communication procurant intimité et plein exercice des droits fondamentaux. De nombreux autres projets de recherche travaillent sur ces questions. anonbib [4] contient maintenant 431 références de publications étalées sur 38 ans. (Les membres du projet Tor écrive « Tor » plutôt que « TOR » : c'est un nom plutôt qu'un acronyme [5].) (Ah, et dire « les mecs », alors que Tor a au moins deux développeuses, c'est sexiste.) [1]: http://www.onion-router.net/History.html [2]: https://gitweb.torproject.org/torspec.git [3]: https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-1 https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-2 https://blog.torproject.org/blog/top-changes-tor-2004-design-paper-part-3 [4]: http://freehaven.net/anonbib/ [5]: https://www.acsac.org/2011/program/keynotes/syverson.pdf (page 7) -- Lunar <lu...@torproject.org> signature.asc Description: Digital signature
Re: [FRnOG] [MISC] DSP 59
Clement Cavadore: On Thu, 2015-07-23 at 21:13 +0200, David Ponzone wrote: Woman ? Je kif! C'est quoi comme protocole ? Un truc incompréhensible, aux instabilités et réactions aléatoires chroniques :-)) (désolé on n'est pas encore vendredi, mais c'est tout comme... :p) Vendredi ou pas, c'est pénible de lire des propos sexistes. -- Lunar signature.asc Description: Digital signature
Re: [FRnOG] Re: [MISC] Le routage, enjeu de cyberstratégie
Le mardi 06 novembre à 16:10 +0100, Pierre Beyssac écrivait: On Tue, Nov 06, 2012 at 12:05:23PM +0100, Kavé Salamatian wrote: Oui. Mais un defaut de protectionn ne justifie pas une attaque. Suppose que quelqu'un trouve un moyen astucieux pour s'attaquer au DNS .fr. Que faut il faire : 1- lui decerner une medaille d'astuce et le le congratuler pour son intelligence 2- dire que c'est pas sa faute si les ingenieurs de l'AFNIC ne sont pas aussi intelligent/prevoyant, etc... que lui 3- dire que c'est un delit que de s'attaquer a l'infrastructure d'autrui avec objectif d'y nuire. Un certain Lawrence Lessig a relativement bien résumé la question, à la base : code is law C'est plus profond qu'il n'y parait. Ça rend les discussions de souveraineté, d'extraterritorialité et de gouvernance assez largement oiseuses et dépassées. La tech du XXIe siècle d'un côté, les schémas politiques hérités du XVIIIe de l'autre. (je ne prends pas là position pour dire que c'est bien ou mal, je dis juste que c'est comme ça) Intéressant comme la position de Lessig s'est fait détournée avec les années. Ce qu'il disait dans cet essai (si on parle bien de http://harvardmagazine.com/2000/01/code-is-law-html), c'est justement que le code était en train de prendre le pouvoir sur la loi. Ce qu'il y voyait c'était une minorité de techniciens choisissant comment la société fonctionne, rendant impossible tout idéal démocratique. Il en appelait donc à un retour aux pensées et décisions collectives et à un renforcement des organes de décisions démocratiques étatsuniens. Donc en l'occurence, ce que disait Lessig va plutôt dans le sens de souhaiter une meilleure législation internationale… -- Lunar signature.asc Description: Digital signature