Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Tor Browser : Mozilla veut savoir comment le FBI a identifié des utilisateurs

Une histoire de disclosure

Tor Browser : Mozilla veut savoir comment le FBI a identifié des utilisateurs

Le 13 mai 2016 à 07h40

La fondation Mozilla a déposé un recours devant un tribunal américain pour obtenir la faille qui aurait été utilisée pour identifier des utilisateurs de Tor Browser, qui s'appuie sur Firefox. Dans le même temps, elle a lancé un appel à candidatures pour financer des projets web open source, avec une enveloppe de 1,25 million de dollars.

Mozilla veut obtenir la faille de Firefox dont le FBI disposerait. Dans un billet de blog, la fondation explique avoir déposé un recours dans le cadre d'une affaire criminelle impliquant le bureau, au sujet d'une vulnérabilité de Tor Browser. L'affaire en question : le démantèlement en début d'année dernière de Playpen, un site d'échange de contenus pédopornographiques avec 215 000 membres inscrits, que le FBI a saisi et maintenu pendant près de deux semaines, pour piéger ses utilisateurs.

Obtenir les failles de Firefox avant les autres

Pendant cette période, les autorités ont ainsi réussi à obtenir 1 300 adresses IP d'utilisateurs de Tor Browser, dont le but est justement de la masquer. « Certains ont spéculé, y compris des membres de la défense, que la vulnérabilité existerait dans la portion du code de Firefox sur lequel s'appuie Tor Browser » affirme la fondation. Pour le moment, la cour a ordonné au FBI de fournir la faille en question à la défense, mais pas aux développeurs des outils incriminés.

Dans son recours, l'organisation demande ainsi au tribunal d'obliger le gouvernement à lui fournir la faille en question. Jusqu'ici, le FBI se serait même refusé à préciser si la vulnérabilité était connue de Mozilla ou non. La fondation veut s'assurer que si une faille de Firefox est communiquée, elle le sera d'abord à elle, et non à un tiers.

Plus généralement, Mozilla estime que les communications de faille par la justice devraient suivre les meilleures pratiques en matière de publication. En clair, l'entreprise concernée devrait recevoir prioritairement ces informations, pour régler rapidement le problème. De quoi jeter un peu plus d'huile sur le feu dans cette affaire, dans laquelle le FBI est déjà largement critiqué pour avoir distribué des images pédopornographiques pendant plus d'une semaine pour identifier les utilisateurs.

Un financement renforcé de l'open source

Sur une note plus positive, Mozilla a annoncé en parallèle étendre son programme de financement des technologies web open source. Le Mozilla Open Source Support (MOSS) s'ouvre ainsi à tous les projets. Il était jusqu'ici réservé à ceux sur lesquels les produits de la fondation s'appuyaient directement, dans sa première édition lancée en octobre.

Cette seconde ligne de financement « est ouverte à tout projet open source qui entreprend une activité qui fait avancer les missions de Mozilla de manière significative », affirme la fondation. Elle précise d'ailleurs qu'un projet n'a pas besoin d'être lié à elle ou en anglais pour obtenir un financement. Pour cette année, l'organisation a réservé une enveloppe de 1,25 million d'euros. Les candidatures peuvent être déposées jusqu'au 31 mai. Après cette date, toute proposition sera étudiée en continu, et non dans ce premier lot.

Les premiers sélectionnés seront désignés au mois de juin. Sur son wiki, l'organisation indique déjà préparer une troisième étape, dédiée cette fois aux projets open source « sûrs », l'une des principales préoccupations du moment, y compris du côté de Mozilla.

Commentaires (77)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

cette histoire d’amour sans fin entre le FBI et le monde des IT… <img data-src=" />

La faute à Apple s’ils boudent maintenant <img data-src=" />

votre avatar

Alors, faille où : protocole TOR ou FF ?



Si c’est FF, ça risque de toucher beaucoup de monde… À suivre !

votre avatar







Commentaire_supprime a écrit :



Alors, faille où : protocole TOR ou FF ?



Si c’est FF, ça risque de toucher beaucoup de monde… À suivre !





et pourquoi pas une faille de l’OS ?

voire une faille d’une implémentation précise dans un OS (ex : TOR sous Windows)


votre avatar

En lisant l’article j’ai un doute, c’était un site porno legit sur tor ? <img data-src=" />

&nbsp;

votre avatar







Algent a écrit :



En lisant l’article j’ai un doute, c’était un site porno legit sur tor ? <img data-src=" />







Un site d’échange de contenus pornographiques.



À mon avis, c’était fait exprès pour qu’il y ait de l’illégal (comprendre : pédoporno) qui y passe en plus du reste.


votre avatar







picatrix a écrit :



et pourquoi pas une faille de l’OS ?

voire une faille d’une implémentation précise dans un OS (ex : TOR sous Windows)





Le projet TOR déconseille déjà l’utilisation de windows.



Mais c’est évident qu’il y a des failles sur Firefox, vu la tonne de technos qu’ils embarquent.


votre avatar

Pour des images porno ??? Tout ça pour des images de teub ??? Putain mais faut annexer ce pays de décérébrés c’est pas possible.

votre avatar

Je te renvoies ta remarque.

votre avatar

I don’t know if troll or stupid…



Tor c’est l’anonymat. Figures-toi qu’il existe des gens qui ne vivent pas avec la liberté d’expression. D’autres qui en ont juste besoin pour lancer des alertes sans être accusés de trahison.

votre avatar

à un VPN? pour l’anonymat?



(et à quelqu’un à qui j’avais suggéré Tor+vpn, on m’avais répondu qu’il existait un risque que Tor soit inefficace)

votre avatar







MuadJC a écrit :



à un VPN? pour l’anonymat?



(et à quelqu’un à qui j’avais suggéré Tor+vpn, on m’avais répondu qu’il existait un risque que Tor soit inefficace)





Si le combo VPN dans TOR est inefficace puisque ton point de sortie sera toujours le même, le combo TOR dans un VPN lui l’est beaucoup plus. Après, ce n’est qu’une couche en plus, mais si le VPN est à l’étranger, tu évites un temps les boîtes noires, en attendant que ta clé soit récupérée parce que tu seras suspecté de terrorisme.


votre avatar

C’est quoi une middlebox ?&nbsp;



Sinon, quel est le vrai intérêt d’un VPN quand on passe par Tor ?&nbsp;

&nbsp;

Tu parles de VPN à l’étranger, mais quel pays ne collaborerais avec un pays tel que les Etats Unis ?&nbsp;

votre avatar







blackdream a écrit :



C’est quoi une middlebox ? 



Sinon, quel est le vrai intérêt d’un VPN quand on passe par Tor ? 

 

Tu parles de VPN à l’étranger, mais quel pays ne collaborerais avec un pays tel que les Etats Unis ?





L’intérêt d’un VPN est extrêmement limité, on est d’accord, c’est bien pour cela que je parle de récupération de la clé <img data-src=" />



Pour la middlebox, c’est décrit dans l’article. En gros, au lieu d’avoir une VM avec TOR et le client, tu as les deux séparément, idéalement sur des machines séparées (sinon l’intérêt est limité).


votre avatar

Bah j’ai lu rapidement, mais ça m’a pas paru très clair. C’est juste pour s’assurer que la VM communique uniquement Tor, en gros ?&nbsp;

C’est pas déjà assuré si on passe par une VM style Tails ?&nbsp;

votre avatar







Commentaire_supprime a écrit :



Alors, faille où : protocole TOR ou FF ?



Si c’est FF, ça risque de toucher beaucoup de monde… À suivre !







Pas faille dans le protocole dans le cas présent, c’est sûr et certain, il s’est agi d’installer un petit malware sur l’ordinateur des suspects, donc forcément faille dans un programme. Faille dans le logiciel Tor par contre, ça reste possible (pas Firefox, celui qui s’occupe purement et simplement du chiffrement et des communications, le process tor quoi).







picatrix a écrit :



et pourquoi pas une faille de l’OS ?

voire une faille d’une implémentation précise dans un OS (ex : TOR sous Windows)







Non, le mandat obtenu par le FBI indiquait clairement qu’ils comptaient se servir sur plusieurs OS. Et puis “faille de l’OS” ne veut rien dire : il faut bien une porte d’entrée via un logiciel.







BTCKnight a écrit :



Bof, j’imagine que le FBI a exploité les faiblesses du protocole WebRTC qui permet de récupérer l’adresse IP publique d’un internaute, même derrière un VPN ou Tor…

http://korben.info/proteger-faille-webrtc.html







Non, WebRTC n’est pas compilé dans les versions de Firefox pour le Tor Browser. Peut-être la faille pdf.js mais c’est improbable : vu comme le FBI tient à garder top secret sa faille, il y a de bonnes chances pour que ce soit une faille non-corrigée. Peut-être même pas dans Firefox mais dans le process Tor d’ailleurs.



D’ailleurs l’article n’est pas à jour : le juge a finalement retiré son ordre fait au FBI de dévoiler la faille à la défense. En revanche, il a prévenu que si le FBI n’était pas obligé de dévoiler la faille, cela pourrait quand-même affaiblir la valeur des “preuves” retenues contre l’accusé au point de risquer de faire tomber le dossier.


votre avatar







MuadJC a écrit :



I don’t know if troll or stupid…



Tor c’est l’anonymat. Figures-toi qu’il existe des gens qui ne vivent pas avec la liberté d’expression. D’autres qui en ont juste besoin pour lancer des alertes sans être accusés de trahison.





Si vous n’avez rien à cacher, vous n’avez rien à craindre.

Si les lanceurs d’alertes se cachent c’est donc qu’ils sont contre la démocratie, contre le juste, contre l’humanité.


votre avatar







ActionFighter a écrit :



C’est bien mais le mieux est de mettre en place une middlebox.







La middlebox est utile si la faille se trouve dans Firefox. Elle est inutile si la faille se trouve dans l’exécutable tor lui-même (ou dans le protocole, cf le hack de Carnegie-Mellon qui a permis de buster je ne sais plus quelle version de Silk Road).







MuadJC a écrit :



Sauf que Tor Browser désactive les deux.







Non, javascript n’est pas désactivé par défaut dans le Tor Browser, il pourrait s’agir d’une faille javascript, c’est une hypothèse parmi d’autres.







blackdream a écrit :



Sinon, quel est le vrai intérêt d’un VPN quand on passe par Tor ? 

 

Tu parles de VPN à l’étranger, mais quel pays ne collaborerais avec un pays tel que les Etats Unis ?







L’intérêt c’est que si Tor est contourné d’une manière ou d’une autre, il reste une ultime protection, plus faible, mais qui a le mérite d’exister. Le hack de Carnegie-Mellon par exemple ne permet pas de buster quelqu’un qui serait derrière un VPN. Pour un hack comme celui dont parle la news par contre, p’tèt ben qu’oui p’tèt ben qu’non.



Pour le VPN à l’étranger, tout dépend du sujet. En matière de terrorisme tout le monde collaborerait je pense. Mais pour Snowden ou un trafic de cannabis, pas sûr que la Russie fasse beaucoup d’efforts pour le FBI. Qui plus est, selon les pays, les opérateurs de VPN ne sont pas forcément obligés de garder des logs. Du coup, la police d’un pays donné peut se pointer dans le datacenter, prendre les serveurs de l’opérateur VPN, et constater qu’il n’y a rien à en tirer.


votre avatar







blackdream a écrit :



Bah j’ai lu rapidement, mais ça m’a pas paru très clair. C’est juste pour s’assurer que la VM communique uniquement Tor, en gros ? 

C’est pas déjà assuré si on passe par une VM style Tails ?







Une middlebox c’est ni plus ni moins un routeur d’un point de vue fonctionnel réseau.



L’avantage c’est qu’avec une connexion à Tor tu peux avoir une ou plusieurs machines qui passent par là. Mais aussi tu es sûr que tous tes flux sortants seront encapsulés par Tor ce qui peut éviter de balancer ton ip publique dasn le cadre d’exploitation d’une faille si par exemple elle consiste à contourner le proxy Tor de ton ordi via une faille ou un malware déposé sur ton poste.


votre avatar

Tor Browser c’est un bricolo de toute façon, la meilleure façon pour l’anonymat (en dehors d’utiliser Tails) est une tor middlebox.



De plus, cette middlebox anonymise l’ensemble du trafic, pas seulement la navigation web. Elle fonctionne quel que soit l’O.S. invité (je le fais même avec une VM Android), mais bien sûr l’O.S. guest est Linux. <img data-src=" />





(Oops, grillé !)

votre avatar

100% d’accord !



Attention à l’O.S. invité cependant.



Imaginons que vous ayez réussi à passer les nombreuses barrières vérificatrices du “numéro de licence”, et que vous ayez mis Slurpware 10 dans la middlebox.



Ce qu’il va se passer si vous naviguez sur &quothttp://site.interdit.com”, c’est que le FBI va facilement vous retrouver.



Démonstration :




  • saisie par le FBI de site.interdit.com et de ses logs de connexion.

  • examen de l’IP (réseau tor) daté.

  • le FBI demande gentiment à M$ le “numéro de machine” connecté à cette heure avec cet IP

  • et voila ==&gt; prison !



    En effet, lorsque Slurpware 10 démarre il fait un “call home” avec le numéro unique de la machine. Ainsi, même si l’IP est “torrifiée”, le rapprochement devient facile à faire et même nominatif.



    Il en va aussi de même si vous naviguez sur un site qui peut vous reconnaître : mail, etc…

votre avatar







blackdream a écrit :



Bah j’ai lu rapidement, mais ça m’a pas paru très clair. C’est juste pour s’assurer que la VM communique uniquement Tor, en gros ? 

C’est pas déjà assuré si on passe par une VM style Tails ?





Les autres ont déjà répondu sur pas mal de point donc je rajouterai juste que oui, Tails assure ça.









Liam a écrit :



….









Bylon a écrit :





Il en va aussi de même si vous naviguez sur un site qui peut vous reconnaître : mail, etc…





100% d’accord avec vos interventions également <img data-src=" />



J’ai laissé ce dernier point dans la citation car ce n’est pas un point technique et pourtant l’un des plus essentiels : ne jamais aller sur un site avec les mêmes identifiants qu’en clair et même éviter de fréquenter les mêmes sites pour le web standard, et surtout ne jamais livrer la moindre information personnelle même non-nominative.


votre avatar







maxxyme a écrit :



PEDO-porn, faut apprendre à lire. ;)





Le texte a été modifié après les commentaires, Einstein.


votre avatar







ActionFighter a écrit :



Les autres ont déjà répondu sur pas mal de point donc je rajouterai juste que oui, Tails assure ça.







Tails est un peu moins sécurisé qu’une middlebox quand-même : en cas de faille de sécurité sur le navigateur suivi d’une escalation de privilège, un attaquant pourrait en profiter pour communiquer avec l’extérieur à l’aide de l’unsafe browser, ou du compte user tor (qui a un accès total et non-filtré à internet).


votre avatar

C’est quoi le problème avec le porno ? Ça a été interdit et je m’en suis pas rendu compte ?

votre avatar

Le site s’appelait playpen, soit le nom des parcs dans lequel on met bébé pour ne pas qu’il traîne partout dans la maison… On peut donc supposer qu’il était très spécialisé

votre avatar

The FBI took over a dark web child-pornography site called Playpen last year and, rather than shut it down, used a secret, still-undisclosed



https://theintercept.com/2016/05/12/mozilla-wants-heads-up-from-fbi-on-tor-brows…

votre avatar

cette histoire d’amour sans fin faille&nbsp;entre le FBI et le monde des IT…&nbsp;<img data-src=" />



<img data-src=" />

votre avatar

Oui, c’était bien de la pornographie infantile … fail.

votre avatar







Altair31 a écrit :



cette histoire d’amour sans fin faille entre le FBI et le monde des IT… <img data-src=" />



<img data-src=" />





joli <img data-src=" /> <img data-src=" /> (-1pt parce que faux : c’est justement pour une histoire de faille que le bât blesse ;) )


votre avatar

ouais il doit manquer un préfixe au sujet.

votre avatar

Simple, ils ont fait appel à Mr Robot <img data-src=" />

votre avatar

Avec un navigateur pas à jour probablement.

Il y a plein de failles dans les anciennes versions.

votre avatar

MOSS ? Maurice MOSS ? <img data-src=" />

votre avatar

C’est bien beau de faire des enquêtes sur la lenteur des mises à jour systèmes sur les OS mobiles quand dans le même temps les agences gouvernementales étudient et gardent pour eux des failles 0-days….



Parce que là, la faille a servie pour du pr0n pedo, mais elle est sûrement exploitable et déjà exploitée dans d’autres cadres…

votre avatar

Ou pas de faille ni dans l’un ni dans l’autre… Le FBI a déjà plusieurs fois piégé des sites web sur TOR en utilisant des scripts / applis flashs qui sont exécutés par le client et se connectent ensuite à un serveur chez eux sans passer par TOR. Reste à savoir si le navigateur de Mozilla est le seul à avoir été touché ou pas.

votre avatar

“215 000 membres inscrits”



Il n’y aurait tout de même pas un peu de pipotage? Déjà combien de personnes savent utiliser Tor? (j’ai beau être un geek j’ai jamais fait l’effort de m’y connecter).



Et dans le monde, il y aurait 215000 pédophiles qui aurait pris le risque et fait l’effort de trouver le site sur Tor, et de s’y creer un compte (payant je suppose)?



D’ailleurs en 15 jours le FBI n’a trouve que 1300 IPs? donc 90 utilisateurs qui se sont connectes par jour?

votre avatar

La faille a servit a détecter le pedo pron, pas à le créer. Donc sur le coup plutôt bon point.

votre avatar







nigol a écrit :



Déjà combien de personnes savent utiliser Tor?



&nbsp;

N’importe qui qui sait installer firefox a déjà toutes les connaissances pour naviguer sur le web avec Tor. En effet, il suffit d’installer le Tor Browser (un clone de firefox qui fait passer tout son traffic par Tor) et ça marche tout seul.


votre avatar







Nit a écrit :



N’importe qui qui sait installer firefox a déjà toutes les connaissances pour naviguer sur le web avec Tor. En effet, il suffit d’installer le Tor Browser (un clone de firefox qui fait passer tout son traffic par Tor) et ça marche tout seul.





Non.



Le bundle de base a le javascript activé par défaut, et ce sont des failles JS qui ont précédemment été utilisées pour démanteler un certain nombre de sites cachés.


votre avatar







ActionFighter a écrit :



Non.



Le bundle de base a le javascript activé par défaut, et ce sont des failles JS qui ont précédemment été utilisées pour démanteler un certain nombre de sites cachés.





Je me rappelle que le bundle vient avec l’extension Noscript, mais je ne me souvenais pas que par défaut ce n’était pas désactivé globalement.


votre avatar

&nbsp;Naviguer sur le web avec tor et administrer un hidden service web (un site caché) sont deux choses complètement différentes

votre avatar

webRTC?

votre avatar

(doublon, sry)

votre avatar

Bof, j’imagine que le FBI a exploité les faiblesses du protocole WebRTC qui permet de récupérer l’adresse IP publique d’un internaute, même derrière un VPN ou Tor…

http://korben.info/proteger-faille-webrtc.html

votre avatar

Je croyais que l’intérêt de Firefox, c’était qu’il était open source, et par conséquent, les failles étaient rapidement corrigées car plus facilement détectables…&nbsp;<img data-src=" />

votre avatar

Tu diras toujours bon point si elle sert à détecter les frondeurs, les écologistes, les partageurs, les Nuit debout, les FN ou les En marche ?



“Quand ils sont venus chercher les socialistes, je n’ai rien dit

Parce que je n’étais pas socialiste”

votre avatar







CryoGen a écrit :



Je me rappelle que le bundle vient avec l’extension Noscript, mais je ne me souvenais pas que par défaut ce n’était pas désactivé globalement.





Ça fait un moment que je ne l’ai pas utilisé, mais à l’époque, NoScript ne désactivait pas tout. Et en plus, ça fait une surcouche inutile avec de potentielles failles supplémentaires, alors que la sécurité de base sur TOR implique la désactivation totale du JS.







Nit a écrit :



Naviguer sur le web avec tor et administrer un hidden service web (un site caché) sont deux choses complètement différentes





Oui.



Mais cela n’a rien à voir avec le fait de naviguer ou d’administrer un hidden service. Même pour la simple navigation, le JS doit être totalement désactivé. La première chose à faire après avoir téléchargé un bundle est d’aller dans le about:config et de mettre le javasrcipt.enabled à 0, sans ça, rien ne peut garantir totalement ton anonymat sur le réseau.


votre avatar

Faux, PEDO-porn. Donc oui, illégal.

votre avatar

PEDO-porn, faut apprendre à lire. ;)

votre avatar

Idem ici, PEDO-porn.

votre avatar

Justement… plus facilement détectables ET exploitables par les FBI/NSA/CIA & consors… <img data-src=" />

votre avatar







maxxyme a écrit :



Faux, PEDO-porn. Donc oui, illégal.





on se calme, le “pédo” ne faisait justement pas partie de l’article en version 1.0 <img data-src=" />


votre avatar

l’article a peut être été édité : calmos sur le multipost :o





edit :









WereWindle a écrit :



on se calme, le “pédo” ne faisait justement pas partie de l’article en version 1.0 <img data-src=" />





maintenant il va s’en prendre plein la face :o


votre avatar

Ca peut aussi simplement être une exploitation des faiblesses structurelles de TOR, dans ce cas pas de raisons d’en parler à Mozilla

votre avatar

Un rêve : Le FBI fait ça pour un autre site, genre en France… et se fait flasher par Hadopi !

Ça serai le sketch de l’année !&nbsp;<img data-src=" />

votre avatar







Liam a écrit :



Tails est un peu moins sécurisé qu’une middlebox quand-même : en cas de faille de sécurité sur le navigateur suivi d’une escalation de privilège, un attaquant pourrait en profiter pour communiquer avec l’extérieur à l’aide de l’unsafe browser, ou du compte user tor (qui a un accès total et non-filtré à internet).





N’ayant jamais utilisé Tails, je ne savais pas qu’il y avait un unsafe browser. Déjà, rien que ça, lorsque l’on tient vraiment à son anonymat, il faut pas se gourer de fenêtre <img data-src=" />



Sinon oui, une machine non proxifiée par TOR peut en cas de faille communiquer en clair, ruinant complètement l’anonymat <img data-src=" />


votre avatar







ActionFighter a écrit :



N’ayant jamais utilisé Tails, je ne savais pas qu’il y avait un unsafe browser. Déjà, rien que ça, lorsque l’on tient vraiment à son anonymat, il faut pas se gourer de fenêtre <img data-src=" />







L’unsafe browser a notamment pour but de permettre de se connecter via un wifi public avec portail captif. Il y a assez peu de risque de se planter entre les deux, mais le danger est qu’il soit lancé à son insu pour communiquer avec un adversaire en dehors de Tor. Le browser torrifié et l’unsafe browser n’étant pas sur le même user, ça va en principe nécessiter une escalation de privilège mais bon…


votre avatar

Enfin pour l’anonymat, j’aurais plutôt tendance à faire un coup de aircrack & cie sur un pc à part pour passer par la connexion mal sécurisée d’un tiers pour utiliser internet de façon plus ou moins anonyme. (si j’en avais la volonté)



Dans la mesure ou vous vous servez de votre connexion, il y a des chances que vous puissiez être retrouvé, y compris avec tor & cie…

votre avatar







Marco07 a écrit :



Enfin pour l’anonymat, j’aurais plutôt tendance à faire un coup de aircrack & cie sur un pc à part pour passer par la connexion mal sécurisée d’un tiers pour utiliser internet de façon plus ou moins anonyme. (si j’en avais la volonté)







Les hotspots wifi en WEP ça se fait rare quand-même. Et le WPA est toujours pas cracké à ma connaissance.


votre avatar
votre avatar

so, <img data-src=" />

votre avatar

Je ne comprends pas pourquoi lorsqu’ on utilise Tor Browser, on est immédiatement reconnu par certains sites (en dehors du réseau Tor) comme utilisant Tor.C’est comme se pointer à une convention de pompiers habillé en policier.

&nbsp;

“TOR detected IP addresses of Tor exit nodes are known. It means that it’s known that you use anonymous network and your actions may be defined as suspicious”.

&nbsp;

En gros, hors raiseau Tor (donc sur l’internet normal) on est plus “suspect” comparer à un utilisateur d’un simple VPN. C’est pour moi un gros défault pour un logiciel dont le but est de protéger&nbsp; l’identité de l’utilisateur si dès le départ les projecteurs se tournent sur nous à peine débarqué sur un site.Au lieu de tracer x personnes au hasard (des pompiers parmi d’autres pompiers) il suffit déjà de se focaliser sur celui arborant un beau panneau sur le front&nbsp; “je ne fais que passer, faîtes comme si je n’étais pas là” - Le type qui n’a toujours pas compris que dans Hitman, pour passer inaperçu au milieu d’une foule, c’est peut-être dans un premier temps mieux de choisir le bon déguisement ;-).

&nbsp;

Le pire c’est que le logiciel fait tout un pataquès lorsqu’on modifie la taille de sa fenêtre.Donc vous avez tout un tas de gens qui surf par exemple en 1920x1080 et vous vous pointez avec votre 1000 x 900 qui, comme par hasard, est à la fois atypique et typique de Tor Browser.C’est encore une fois pas logique d’attirer l’attention sur soit quand on veut passer inaperçu.

&nbsp;

Donc soit il faut limiter l’utilisation de Tor Browser au seul réseau Tor (et l’indiquer clairement à l’utilisateur lors de l’instalation du programme), soit faire en sorte qu’il apparaisse comme un navigateur lambda si on l’utilise aussi sur internet.Soit je suis un couillon et je n’ai pas compris qu’il ne fallait SURTOUT PAS utiliser Tor Browser en dehors de son réseau Tor.Soit Tor Browser est quelque part un hameçon à couillons et certains sites peuvent servir d’appâts (c’est un peu comme à la pêche, chaque poisson necessitant un appât et une technique de pêche spécifique).

votre avatar

Laissons les terroristes en liberté pour éviter qu’un jour ce soit les citoyens lambda qui soient mit eux aussi derrière les barreaux?



“Quand ils sont venus chercher les terroristes, je n’ai rien dit

Parce que je n’étais pas terroriste”



Le risque de dérive n’est pas une raison suffisante pour empêcher quelque chose. On doit bloquer les dérives pas les moyens qui peuvent les permettre. Ou sinon autant interdire de-suite internet.

votre avatar

Kamoulox ?

Il dit qu’il voit pas le rapport

votre avatar

Ça a été modifié par la suite dans l’article. Merci de pas t’emballer.



Mais j’ai peine à croire qu’un site pédopornographique puisse atteindre 215 000 inscrits ?? C’est vraiment improbable. Il doit manquer des infos là.

votre avatar

1 300 /&nbsp;&nbsp;215 000 ça fait entre 0,5 et 1%, on pourrait penser que c’est à peu près le pourcentage d’utilisateurs de Tor qui laissent le JS ou Flash.&nbsp;Maintenant, faut voir le nombre réel des 215 000 qui se sont connecté pendant les 15 jours ou le FBI avait la main sur ce site, mais c’est probablement plus que 1 300. Après, il me semble aussi que les anciennes de version de Tor Browser avaient des failles corrigés depuis.&nbsp;

votre avatar

Tu aurais donc donné les résistants de la 1e et 2e guerre mondiale,

considérés comme des terroristes.

A notre époque, tu demandes la tête de Snowden et d’Assange.

votre avatar

Ce logiciel Tor sert à quoi d’autre si ce n’est de propager de l’illégal ?

Le pire c’est qu’il a reçu le prix du logiciel libre, donc je pense qu’il faut surveiller de très pres tout ces terroristes qui programment en licence libre, ils ne savent pas programmer et ne possèdent pas les moyens financier pour corriger des failles informatique: le résultat est catastrophique et fais perdre du temps au FBI qui au lieu de perdre du temps à chercher des failles pourrait jouir d’un backdoor dans un logiciel propriétaire&nbsp; et faire fermer tout ces réseau néfaste beaucoup plus rapidement et de manière moins couteuse.

votre avatar

Avant d’atteindre le point godwin je t’encourage vivement a lire la définition de terroriste/terrorisme. Ce n’est pas aussi simple que tu sembles le croire.

votre avatar

Atomic&nbsp;<img data-src=" />

votre avatar

Sur la précédente brêche :



“The FBI used a vulnerability in Firefox 17, on which the Tor

browser is based, to turn Freedom Hosting sites into malware spreading

tracker tools. It all works on the Firefox 17 JavaScript Zero Day

Exploit; this malicious script is a tiny Windows executable hidden

variable named “Magneto” which looks for victim’s MAC address and its

hostname and sends it back as a HTTP web request to the Virginia server

to expose the user’s real IP address. The FBI successfully gained access

to the Freedom Hosting server and injected malicious HTML code, which

checks whether the user’s browser is Firefox 17 or not.”

&nbsp;

l’exploit en détails

http://resources.infosecinstitute.com/fbi-tor-exploit/

votre avatar







Haemy a écrit :



Ce logiciel Tor sert à quoi d’autre si ce n’est de propager de l’illégal ?

Le pire c’est qu’il a reçu le prix du logiciel libre, donc je pense qu’il faut surveiller de très pres tout ces terroristes qui programment en licence libre, ils ne savent pas programmer et ne possèdent pas les moyens financier pour corriger des failles informatique: le résultat est catastrophique et fais perdre du temps au FBI qui au lieu de perdre du temps à chercher des failles pourrait jouir d’un backdoor dans un logiciel propriétaire  et faire fermer tout ces réseau néfaste beaucoup plus rapidement et de manière moins couteuse.







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Même un vendredi (13 en plus), faut oser sortir un concentré de <img data-src=" /> pareil !


votre avatar







Haemy a écrit :



Ce logiciel Tor sert à quoi d’autre si ce n’est de propager de l’illégal ?

Le pire c’est qu’il a reçu le prix du logiciel libre, donc je pense qu’il faut surveiller de très pres tout ces terroristes qui programment en licence libre, ils ne savent pas programmer et ne possèdent pas les moyens financier pour corriger des failles informatique: le résultat est catastrophique et fais perdre du temps au FBI qui au lieu de perdre du temps à chercher des failles pourrait jouir d’un backdoor dans un logiciel propriétaire  et faire fermer tout ces réseau néfaste beaucoup plus rapidement et de manière moins couteuse.





Plutôt que supprimer seulement l’Open Source, supprimons la liberté tant qu’à faire… pas sur cependant que ça soit réellement le meilleur moyen de lutter contre des organisations ou des régimes peu démocratiques…


votre avatar

Pour ceux qui tiennent à l’anonymat, commencez par créer une VM sous Linux avec chiffrement de disque.

Connectez votre machine hôte à un VPN, puis lancez Tor depuis votre VM.

votre avatar







jayc4 a écrit :



Pour ceux qui tiennent à l’anonymat, commencez par créer une VM sous Linux avec chiffrement de disque.

Connectez votre machine hôte à un VPN, puis lancez Tor depuis votre VM.





C’est bien mais le mieux est de mettre en place une middlebox.


votre avatar

Sauf que Tor Browser désactive les deux.

votre avatar

J’ai l’impression que la plupart de ces sites (comme nos sites torrent d’ailleurs) obligent à s’inscrire.

Si c’est idiot ça l’est pour nous aussi qui utilisons de vraies adresses mail à l’inscription sur t411…

Tor Browser : Mozilla veut savoir comment le FBI a identifié des utilisateurs

  • Obtenir les failles de Firefox avant les autres

  • Un financement renforcé de l'open source

Fermer