Le Tor Browser et la distribution Linux Tails, tous deux spécialisés dans la sécurité et l’anonymat, sont disponibles dans de nouvelles moutures. L’occasion pour le navigateur de mettre à jour quelques-uns de ses outils internes, mais la mise à jour est de plus grande ampleur pour Tails, qui se dote notamment d’un client Bitcoin : Electrum.
Ceux qui cherchent des solutions pour surfer de manière plus sécurisée et surtout anonymement connaissent le réseau Tor et la distribution Linux Tails. L’équipe du premier publie régulièrement des mises à jour pour le navigateur de son cru, basé en grande partie sur le code de Firefox, mais disposant d’outils spécifiques ainsi que d’une connexion simplifiée au réseau. Tails, de son côté, est basée sur Debian et s'est faite connaître d'un public plus large quand Edward Snowden a indiqué s’en servir pour préserver son anonymat.
Tor Browser corrige des failles et met à jour ses extensions
Le Tor Browser est disponible depuis peu en version 4.0.4. Comme pour les précédentes, pas question de se précipiter sur la dernière mouture de Firefox (la 36, sortie il y a quelques jours). À la place, c’est la branche ESR (Extended Support Release) du navigateur, disposant d'un support étendu, qui reste utilisée, cette fois en version 31.5.0. Quoi qu’il en soit, cette mise à jour permet de boucher les dernières failles de sécurité détectées.
Tor Browser 4.0.4, nomenclature oblige, est donc une révision mineure. Elle corrige un certain nombre de bugs, notamment liés à l’extension NoScript, intégrée par défaut. Cette dernière passe d’ailleurs à la version 2.6.9.15. Même chose pour l’extension HTTPS-Everywhere (4.0.3), dont l’objectif est de généraliser la mécanique HSTS à un maximum de sites. Notez d’ailleurs que cette extension est le résultat d’un projet commun entre Tor et l’Electronic Frontier Foundation (EFF). Enfin, cette mise à jour 4.0.4 inclut la dernière révision d’OpenSSL, estampillée 1.0.1l.
Notez au passage que le Tor Project a reçu il y a quelques jours un don de presque 83 000 dollars après un vote par les utilisateurs de Reddit. Le réseau anonymisant est arrivé dixième dans le classement, la première place ayant été remportée par l'EFF elle-même.
Electrum : un client Bitcoin dans Tails 1.3
C’est assez logiquement que l’on retrouve cette mouture du navigateur dans Tails 1.3. Les nouveautés sont cette fois un peu plus consistantes pour l'OS dédié à la sécurité, notamment avec l’arrivée d’Electrum, un portefeuille destiné aux bitcoins se distinguant par ses fonctionnalités avancées, notamment du côté de la sécurité. Electrum est ainsi conçu pour empêcher au maximum les pertes de la précieuse cryptomonnaie, la blockchain n'étant en fait jamais téléchargée. L’équipe de Tails précise cependant qu’Electrum n’est pas fait pour être totalement anonyme, Bitcoin ne l’étant pas. Il permet cependant de retrouver l’intégralité de son contenu via une simple phrase de passe.
Tails 1.3 introduit également KeyRinger, un outil en ligne de commande qui permet d’échanger littéralement des messages secrets avec d’autres personnes. Pour préserver le caractère masqué des informations, KeyRinger s’appuie sur les technologies de Git et OpenPGP pour les envoyer de manière distribuée.
Ceux qui souhaitent récupérer l’image ISO de Tails 1.3 pourront le faire depuis son site officiel. Ceux qui disposent déjà de la distribution pourront évidemment la mettre à jour pour récupérer l’ensemble des derniers paquets.
Commentaires (55)
Tor Browser est un bon kit.
Mais je croyais que le réseau Tor était une passoire ces temps ci ? à la solde des américains ?
La dernière OpenSSL est la 1.0.2.
Browser anonyme, Bitcoin sécurisé… Tout ca ressemble de plus en plus à un kit d’achat sur le Darknet.
Ca ne va pas améliorer l’image de ces technologies auprès de Mr et Mme ToutLeMonde.
indeed.
Erreur 4.0.4, internaute non trouvé.
Ah ,ok il me semblait bien que PGP aidé à sécurisé.
dsl ,je suis en train de lire pour comprendre comment c’est sécu.
Oui , j’utilisé tor browser , y a encore 2-3 ans.
Mais depuis Tor m’a un peu déçu dans sa sécurité de base .
Le problème aussi ,c’est qu’aux states, si tu sécurises tes données , tu es mal-vu et forcément soupçonné de malversation .
Cela me rappelle le cas d’une famille qui n’utilisait pas les réseaux sociaux et rester discret dans leur quartier. Ils ont été condamné pour je ne sais plus quelle raison.
En France, tu dois t’assurer de sécurisé ta connexion internet / wifi mais pas trop sinon ils ne peuvent te surveiller ….cela va finir pareil.
Perso, en passant par un vpn ,du cryptage de datas , un peu de tor browser , j’essaye de contrôler un min mes données persos …même si.
Et Les réseaux sociaux ,sont pour les minimas tel que contact d’enfance / école et les plats de ma femme ^^“.
Alors, quand je vois que les politicards et autres ayants droits et etc… si nous utilisons ces outils nous sommes forcément en train de tipiaker ou comploter ….m’enfin !
Il y a pas si longtemps, c’était interdit en France de cacher ses appels téléphoniques, d’utiliser de la stéganographie, etc… C’était avant qu’internet existe.
Le problème du darknet est comme son nom l’indique dark. Ils s’y passent des choses plutôt sombre que l’on peut pas nier non plus. Il n’y a pas que ça bien entendu mais voila.
Moi je peux comprendre qu’une zone ou l’accès à du contenu, de la production et de l’échange illicite facile ne plaisent pas aux différents gouvernements.
Tout comme on peut comprendre que certains internaute sont soucieux de leur vie privée. Mais personne aime quand c’est trop privée.
Un - (une) collègue dont on ne connait rien de sa vie on trouve ça louche. Pourquoi pas un internaute ?
Oui le darknet et l’underground gênent les gouvernements , normal…
Mais ces derniers ne sont déjà pas transparents… alors venir se plaindre que nous non plus…c’est assez hypocrite.
Et, avec un vpn ,c’est facile d’avoir le contenu que nous souhaitons alors que légalement, non .
Tor cay nul, on peut pas s’inscrire à NXI avec… Ou alors c’est l’inverse ;)
Merci j’étais au courant
" />
C’est même dark pour invisible - anonyme
Oui mais une fois qu’on a tous ça, à part aller sur silkroad, et lire des pages sur wikipedia on arrive à faire quoi ? J’ai essayé pour voir (de surfer, pas d’aller sur silkroad hein), mais avec une vitesse de dl des années 90 pour afficher les pages, bonjour…
Voilà une news spécial Bob le moche.
Tu pêches un peu à l’explosif là
" />
Je n’ai pas vu si dans la distribution linux, il y a une implémentation de l’idée d’utiliser le réseau BitCoin comme certificat décentraliser, en particulier pour l’authentification de l’identité de l’expéditeur et du destinataire ?
Tout ce que je sais, c’est que ça passe par un transfert d’une toute petite somme (juste pour faire fonctionner le réseau BitCoin) entre les 2 parties.
On sait , nous parlions justement de ce que font croire ces gens aux grands publics ….
Ca me fait penser a la perqui qu’il y a eu dans l’immeuble ou mon bureau se trouve. (plusieurs boites partage le meme batiments)
Il y avait 2 mec qui vendait du LSD et de l’extasie sur le darknet, (je travail a Dublin) et ils avaient pour plus de 200k€ de drogues dans leur bureau a meme pas 5 metre du miens.. je leur parlais quasi tout les jours et je fumais des clopes avec eux.
Enfin bref..
t’es sur que c’était pas toi ? (cf. pseudo avec narco)
" />
Ça montre que le système fonctionne : les sous-fifres se sont faits gaulés et le cerveau court toujours
" />
c’était la règle dans les années 70-80, tu balances personne, tu prends sur toi. Pareil pour ceux qui se faisait arnaquer
" /> (cf. Mr Nice)
Même pas. Je pense vraiment que ce genre de kit s’oriente de plus en plus vers “agir en cachant son identité”, alors que le grand public cherche plutôt à “montrer son identité mais cacher certains de ses agissements”.
Ahah non ^^ mais ca fait tout bizarre de voir debarquer les services speciaux a ton taff ^^, c’etait presque CSI a un moment.
Ce n’est pas esprit de village… On ne demande pas de savoir ton orientation sexuelle ou avec qui tu couches ou pas.
Juste connaitre les gouts, les loisirs. C’est un minimum quand tu passe 8 - 9h avec les gens 5/7jours.
Rhhhoooo mais c’est qu’un exemple. Ou est ce que j’ai dis que c’était le cas d’un de mes collègues.
Tout le monde sait plus ou moins la vie de chacun. Certains plus que d’autres en fonction des affinités.
Mais j’ai imaginé un ou une collègue dont je ne serai rien hormis qu’il - elle arrive à une heure et repart à une autre sans un mot. Qui ne trouverai pas ça bizarre ?
Bah je trouve cette exemple collerait bien pour un gouvernement à un internaute. Quand on sait qu’il est sur FB - twitter tout va bien. Quand on ne sait rien “danger”.
Bon peut être que c’est moi et la relation que j’ai avec mes collègues qui est louche…
" />
Au final, même sur NXI, je remarque qu’il est presque déjà trop tard.
Beaucoup trop de gens acceptent les lieux communs poussés par la presse généraliste et par la classe politique comme d’associer Tor avec la vente de drogues ou de choses illicites. Dire que ça existe ne revient certainement pas à dire que c’est la majorité de son utilisation. De toute façon si vous essayez de me répondre avec votre petite expérience sur l’usage général de Tor, vous avez tort ! Des chiffres sur son usage sont, par principe, très compliqués à sortir. Et comme tout outil, il n’a pas à être jugé/interdit simplement parce que certains en font un mauvais usage.
Bien résumé.
Le problème est toujours le même historiquement…
Kazaa n’est pas un logiciel de piratage mais il est utilisé pour échanger des contenu pas toujours sans droit.
Emule n’est pas un logiciel de piratage mais il est utilisé pour échanger des contenu pas toujours sans droit.
P2P n’est pas un protocole de piratage mais en grande partie il est utilisé pour échanger des contenu pas toujours sans droit.
Etc.. C’est toujours le coté sombre que l’on retiens, même si il y a un peu de lumière et un motif légitime dans l’utilisation de TOR.
Au passage, faudra que tu m’expliques pourquoi tu fermes la porte de ta salle de bains pour te laver la bite au lieu de mettre une webcam dedans.
ce sont des traces restantes de l’éducation victorienne. Pis faut déjà l’avoir, la webcam.
Puis-je, sans blesser qui que ce soit, rappeler que le réseau TOR a été conçu, développé et mis au point avec la participation active (financière et technique) de l’US Navy Cyber Command dont le responsable d’alors n’est ni plus ni moins que l’actuel Directeur de la NSA ?
" />
" />
" />
Alors, quand j’entends parler de sécurité à propos de ce réseau (tout comme des protocoles de chiffrement AES, SSL, OpenSSL, RC4 et autres tous directement ou indirectement financés par la NSA, la CIA, le FBI et autre officines de barbouseries US, ou d’Australie, du Canada, de Nouvelle Zeland, du Royaume-Unis et d’Israël sans compter tous ceux des pays signataires de ‘l’arrangement de Wassenaar” et le mot arrangement est particulièrement “joli, ), je me marre.
Et surtout allez bien dépenser vos sous sur BitCoin dont les montants, expéditeurs et réceptionnaires sont publics !
Mais dans quel monde de “bisounours” vivez-vous ?
Quand aux VPN prétenduement sécurisés par les systèmes cryptographiques précédemment mentionnés…
Allez, dites un grand MERCI aux médias dits “spécialisés” qui vous endorment bien tel le Marchand de Sable avec Nounours avec leurs pseudo informations bien biaisées relayées par des experts académiques à la solde des universités qui les payent et qui n’ont jamais écrit une seule ligne de code de leur vie.
Maintenant, pour ceux que ça intéresse vraiment, il y a des publications un peu plus sérieuses telles celles du Washington Post ou de Zdet comme celle-ci qui donnent un peu plus à réfléchir :
http://www.zdnet.com/article/freak-another-day-another-serious-ssl-security-hole/?tag=nl.e589&s_cid=e589&ttag=e589&ftag=TREc64629f
Merci aux admins de corriger le bug de l’éditeur de texte de ce site dans les plus brefs délais, et en attendant, merci de supprimer toutes les saut de lignes et insertions de code pseudo HTML de mon message précédent.
PS : C’est la seconde fois que je fais cette remarque (sans aucune animosité) à propos de messages un peu longs postés ici.
A l’attention de Vincent Hermann :
Au fait, c’est quoi une “passe de phrase” qui conclue votre article ?
Une mauvaise traduction de Google Translate de “pass phrase” d’un article pompé d’une rubrique des USA ?
Ca ne fait pas très pro !
Si vous voulez parler sécurité et cryptographie une peu sérieusement avec moi (pas comme avec les clowns vendus de l’ANSSI), je suis à votre entière et amicale disposition.
Amitiés.
Fnux.
PS : mon adresse e-mail est dans votre database.
C’est bien ce que je pensais :-)