Tutoriel Tor : Comment utiliser le routage en oignon correctement.

Publié par ,
70507 vues, 42 réponses
Balthy homme
Nouveau membre
France
champi vert0champijaune0cxhampi rouge0
Inscrit le 23 Aug 2019
4 messages
Ah d'accord je me suis fourvoyé.
Donc Tor ou pas tor ça ne marchera pas.
Est ce qu'un VPN change quelque chose ?
Enfin avons-nous d'autres issues ?
Merci de la vitesse de réponse.

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
champi vert0champijaune0cxhampi rouge0
Inscrit le 18 Apr 2016
1029 messages
Blogs
Ben du coup, d'après ma réponse précédente, à ton avis ?

Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

Balthy homme
Nouveau membre
France
champi vert0champijaune0cxhampi rouge0
Inscrit le 23 Aug 2019
4 messages
je pense que oui ça marche j'essaie si j'ai rien on dira que c'est parce qu'il y a plus de timbre.

Hors ligne

 

Blockpot
Nouveau membre
champi vert0champijaune0cxhampi rouge0
Inscrit le 16 Sep 2019
3 messages
Bonjour,
Je rencontre quelques problèmes avec la navigation sur le clearweb via Tor. Souhaitant utiliser la messagerie sécurisée des Suédois, je n'arrive pas à me connecter à ma boîte mail (message d'erreur disant que le script ne répond pas). De plus, étant nouvel utilisateur subissant la fermeture de DDW, j'ai du mal à trouver des URL viables comme beaucoup j'imagine. Je précise chercher des adresses de sites légaux visibles sur le Clearweb comme par exemple des messageries.
Edit : adaptation du message

Dernière modification par Blockpot (17 septembre 2019 à  10:28)

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
champi vert0champijaune0cxhampi rouge0
Inscrit le 18 Apr 2016
1029 messages
Blogs
Certains sites bloquent tor. Soit directement en blacklistant les quelques 900 ip des relais de sortie, soit indirectement parce que comme les relais de sortie concentrent le traffic, ils apparaissent comme des bots et le site te demande alors de remplir des captchas complètement illisibles (c'est le cas de google).

Dans ces cas là, pas le choix, il faut utiliser un VPN.

Après, pour le reste de ta question, psychoactif est un forum de RDR. Pas d'échange de bonnes addresses. Attention parce que ta demande frôle dangereusement la demande de plan.

Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

Blockpot
Nouveau membre
champi vert0champijaune0cxhampi rouge0
Inscrit le 16 Sep 2019
3 messages
Bonjour merci de ta réponse rapide et désolé d'avoir frolé les conditions du site. À vrai dire dans le cadre de la réduction des risques je cherche seulement une liste d'adresse de messagerie sécurisées et légales du clearweb ou du deepweb. Afin de répondre à la réduction des risques de fuite de confidentialité  je souhaite passer par Tor pour consulter mes messages. Pourquoi une liste et non pas une adresse unique ? Pour pouvoir choisir une ergonomie qui me correspond (et un site compatible avec Tor du coup). Pour le VPN je viens d'essayer et ça ne fonctionne pas. J'ai utilisé Orbot mode VPN appareil entier, puis en précisant application Tor, avec et sans ponts mais rien n'y fais j'ai toujours le message disant que le script s'est arrêté. Lorsque je me connecte dans un lieu différent avec un appareil différent et sans Tor je ne vois aucun captcha et tout fonctionne bien.
Je me pose maintenant cette question est-ce vraiment utile d'utiliser Tor pour consulter protonmail, si j'ai bien compris ton cours ce serait oui dans une certaine mesure où il faut partir du principe que protonmail est digne de confiance ? Ils utilisent un cryptage 4096bits (donc plus difficile à déchiffrer que le cryptage de Tor), prétendent ne pas avoir accès aux clés (ce qui me semble faux vu que ce sont leurs serveurs qui les génère). Mon seul manque d'anonymat serait que par exemple en utilisant google (je prend cet exemple exprès) tout le monde sait que je me connecte à protonmail et on peut imaginer que si protonmail décide de lire mes messages c'est aussi facile que de retrouver ses clefs dans sa poche pour ouvrir sa maison. Je suis dans le vrai ? Une idée de l'incompatibilité de Tor et de cette messagerie (les méthodes de déchiffrage rentrent en conflit ?). Merci pour votre lecture

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
champi vert0champijaune0cxhampi rouge0
Inscrit le 18 Apr 2016
1029 messages
Blogs

Blockpot a écrit

Afin de répondre à la réduction des risques de fuite de confidentialité  je souhaite passer par Tor pour consulter mes messages. Pourquoi une liste et non pas une adresse unique ? Pour pouvoir choisir une ergonomie qui me correspond (et un site compatible avec Tor du coup).

Si ce sont des addresses email que tu cherches, je te recommande protonmail (https://www.protonmail.com, ou protonirockerxow.onion). Le service de base est gratuit et je l'utilise couramment. Tu as aussi mailden (https://www.mailden.net/) qui est très bien. Mailden est payant (30€/mois), mais ils sont vraiment vénères sur la sécurité. A tel point qu'ils ont fait le choix que le mot de passe ne soit pas récupérable en cas d'oubli. J'utilise aussi couramment mailden.

Blockpot a écrit

Pour le VPN je viens d'essayer et ça ne fonctionne pas. J'ai utilisé Orbot mode VPN appareil entier, puis en précisant application Tor, avec et sans ponts mais rien n'y fais j'ai toujours le message disant que le script s'est arrêté.

Il ne faut pas confondre le mode VPN et un prestataire de VPN. Lorsque tu utilises Orbot en mode VPN, il envoie tout ton traffic dans Tor donc au final, c'est comme si tu utilisais le Tor browser. Quand je te parlais d'un VPN, je parlais d'un prestataire de VPN comme nordvpn, privateinternetaccess, whatever... qui fait sortir la connexion par son propre réseau et pas par le réseau Tor.

Quant aux bridges, si tu as lu le psychowiki sur Tor, ce sont des relais d'entrée. Le site que tu visites ne voit que le relai de sorti. Il s'en fout complètement que tu utilises un bridge ou pas, et il n'a de toute façon aucun moyen de le savoir.

Blockpot a écrit

Je me pose maintenant cette question est-ce vraiment utile d'utiliser Tor pour consulter protonmail

Complètement. D'ailleurs, ils ont une addresse en .onion. Autant s'en servir. Surtout que protonmail n'est pas très regardant sur ton identité. Si tu utilises Tor, il est possible de créer des addresses totalement anonymes.

Blockpot a écrit

Ils utilisent un cryptage 4096bits (donc plus difficile à déchiffrer que le cryptage de Tor)

Houlala ! Tu confonds tout ! Tor n'utilise pas un seul chiffrement, Tor utilise une suite cryptographique. D'abord il y a autentification du serveur via les courbes elliptiques de Bernstein. Ensuite, il y a la négociation d'une clé symétrique via le protocole de Diffie Hellman, ensuite le chiffrement proprement dit qui est un chiffrement symétrique AES 256, qui n'a à ce jour pas encore été craqué, le tout incorporant une signature du message. Et comme il y a 3 relais, il faut stacker 3 fois cette opération.

Et lorsque tu visites un service caché, c'est un bordel encore plus compliqué, entre autre l'échange de Diffie Hellman entre le client et le service caché, qui se passe en 2 temps sur 2 relais différents d'après la RFC du protocole Tor.

Lorsque tu utilises Tor, le traffic est lourdement chiffré. Le principal piège de Tor, ce sont les utilisateurs inexpérimentés qui font des erreurs parce qu'ils se sentent en sécurité avec Tor. Il ne faut pas perdre de vue que Tor ne te protège pas de toi même.

Le chiffrement de Protonmail, et de boites mails en général, ça n'a rien à voir : Tor, c'est du chiffrement des données en transit. Protonmail, c'est du chiffrement de données stockées. Aux dernières nouvelles, ils utilisaient du RSA 2048, mais je sais qu'ils prévoyaient de migrer vers du 4096 donc tes infos sont probablement plus à jour que les miennes.

En tout état de cause, c'est pas qu'il y en a un qui est plus ou moins sécurisé que l'autre, c'est juste que tu peux pas traiter des données en transit et des données stockées de la même façon.


Blockpot a écrit

prétendent ne pas avoir accès aux clés (ce qui me semble faux vu que ce sont leurs serveurs qui les génère).

Il existe des moyen de stocker des données tout en se plaçant dans l'impossibilité d'y avoir accès.

Ce qu'il est possible de faire, c'est de générer une paire de clés RSA, et de chiffrer la clé privée en symétrique via l'algorithme AES, avec une clé AES dérivée d'un mot de passe spécifié par l'utilisateur.

Quand l'utilisateur rentre son mot de passe, la clé AES est calculée d'après le mot de passe de façon déterministe, la clé privée est déchiffrée et elle permet à son tour de déchiffrer les emails.

Donc l'assertion selon laquelle Protonmail (ou Mailden) n'a pas accès aux clés privées de déchiffrement est tout à fait crédible.

En revanche, là où tu as tout à fait raison, c'est sur le fait que tu n'as que leur parole. Il n'y a rien qui te prouve qu'ils font ce qu'ils prétendent.

En revanche, et ça, il n'y a pas beaucoup de gens qui le savent, les titres des emails ne sont pas chiffrés chez protonmail. Si un organisme judiciaire demande des données à protonmail, ils sont en mesure de fournir les titres (Source)

Blockpot a écrit

Mon seul manque d'anonymat serait que par exemple en utilisant google (je prend cet exemple exprès) tout le monde sait que je me connecte à protonmail

Si tu veux de l'anonymat, commence par ne pas utiliser Google.

De toute façon, si tu utilises Tor, tu t'appercevras très vite que Google via Tor, c'est une véritable purge anale.

Ensuite, je ne comprends pas le rapport que tu fais entre Protonmail et Google. Tu n'as pas besoin de google pour te connecter à Protonmail.


Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

Blockpot
Nouveau membre
champi vert0champijaune0cxhampi rouge0
Inscrit le 16 Sep 2019
3 messages
Bonjour,
En effet j'avais déjà l'adresse onion de protonmail merci. La petite anecdote sur mailden m'a beaucoup fait sourir.
Je n'avais pas vraiment réalisé que orbot et Tor browser était aussi lié. Dans les tutos il est dit qu'il faut orbot pour naviguer sur le tor browser en toute confidentialité mais si je comprend bien activer orbot sur le tor browser est un doublon ?

Je plaide coupable, j'ai commencé mes essais (et mes erreurs) en utilisant Nord VPN pour naviguer sur le DeepWeb. Malheureusement tes tutos n'ont pas été les premiers que j'ai lu ce qui m'a pas mal embrouillé.

Donc petit essai avec NordVPN je n'arrive toujours pas à me connecter "problème de script". Pour détailler mes manips dans l'ordre : j'utilise Nord VPN (je me casse pas la tête je fais quick connect) j'attend la réponse de mon appareil qui détecte bien un réseau privé, je lance Tor Browser, je copie directement le lien en onion et j'y accède. Je met identifiant et mot de passe et là erreur. J'essaye avec une seconde adresse protonmail et toujours erreur. Comme conseillé je n'ai bien évidemment jamais touché aux paramètres de Tor Browser, comme déconseillé j'ai essayé tous les niveaux de sécurité (bon c'est protonmail j'imagine que c'est pas très grave de basculer 5min en sécurité minimale à condition de pas faire n'importe quoi dans la foulée).

Mea culpa pour les ponts j'ai mal appris ma leçon (c'est beaucoup d'informations pour un utilisateur amateur comme moi, je comprend le mode de fonctionnement du web profond qu'en surface ahah !

En passant je me pose une question qui pourrait rentrer en conflit avec ma confidentialité en utilisant Tor. Imaginons je fais une recherche via startpage en utilisant Tor Browser. Je tape "protonmail adresse deep web". Je trouve la bonne adresse je ne fais pas l'erreur de cliquer dessus mais je copie le lien et je le colle pour y accéder en ayant supprimé mes traces au préalable. Et bien là je me rend compte que ce que j'ai copié se situe dans un presse papier. De plus mon clavier me propose même d'entrer mon adresse e-mail de proton automatiquement ! Mon appareil utilisant Android comme OS, Android étant complètement transparent envers google. Google épiant beaucoup ses clients... Heu pardon... ses victimes, dois-je m'en soucier ? J'ai passé 3 jours à débarrasser au mieux mon appareil de google et autres parasites, j'ai paramétré google pendant 6h pour refuser au maximum qu'ils m'entendent via leur commande vocale et pourtant je ne me sens pas encore serein d'utiliser Tor via Android. Mon ordinateur ? Je crois que microsoft n'est pas mieux à ce sujet. Paranoïa ou craintes fondées que d'utiliser Tor sur un système d'exploitation verreu ? Peut être que je confonds encore tout mais avec ce que j'ai découvert ces 3 derniers jours je ne serai pas surpris d'apprendre que mon appareil puissent retranscrire lettre par lettre ce que j'ai écris là. Mes lettres ont bien une position précise sur mon clavier donc à l'image de ton exemple avec le curseur et le défilement de page ce serait possible et même facilement réalisable pour un développeur d'intégrer ça à un OS/appareil.


Merci pour l'info concernant les titres des e-mails. Par titre tu veux dire le champs de remplissage "objet"?

Et oui je veux de l'anonymat mais je n'ai pas le choix d'utiliser google, sans ça mon appareil ne voudrait même pas m'afficher l'écran d'accueil. Si je le pouvais je ne passerai même pas par un FAI pour avoir une connexion mais voilà pas le choix.

En tout cas merci pour ta contribution à mon apprentissage j'ai vraiment peur pour notre descendance. J'ai vraiment envie d'apprendre à garder de la confidentialité non pas pour moi mais pour mes futurs enfants, j'ai bien pour qu'il soit trop tard concernant mon passé.

Hors ligne

 

Kaszia femme
Nouveau membre
champi vert0champijaune0cxhampi rouge0
Inscrit le 05 Oct 2019
18 messages
Salut,

Un grand merci pour ce tuto Yog-Sothoth, qui a demandé du boulot et du temps !
Ajouté en favoris, et très très utile pour mes débuts sur le deep.

super

Hors ligne

 

avatar
baddream
Nouveau Psycho
France
champi vert0champijaune0cxhampi rouge0
Inscrit le 30 Jul 2015
69 messages
Un énorme merci pour tes explications, qui sont les plus compréhensives et complètes que j'ai lu jusqu’à maintenant.

Je me déconnecte de PA, et je demande une nouvelle identité au Tor Browser (Bonne pratique n°3), ce qui a pour effet de vider le cache, de supprimer tout les cookies et tous les résidus de données qui pourraient subsister, et d'obtenir un nouveau navigateur tout neuf. Je tape "DeepDotWeb" dans la barre de recherche en haut à droite et je fais faire la recherche par Startpage

Si j'ouvre un onglet et que j'utilise l'option "nouveau circuit tor pour ce site", les données ne sont-elles pas totalement supprimés un navigateur neuf ?
Ou puis-je tout simplement ouvrir un navigateur pour chaque site dont j'ai besoin avec une identité différente.

J'ai une dernière question :

Utiliser le navigateur en anglais joue t'il vraiment sur la sécurité?
Si oui de quelle manière.

Hors ligne

 

avatar
noiado homme
Nouveau Psycho
champi vert0champijaune0cxhampi rouge0
Inscrit le 18 Mar 2015
76 messages

Yog-Sothoth a écrit

Youtube est bourré de Javascript dont certains scripts qui pompent vos données comme votre résolution d'écran. Et vous êtes obligé de baisser la sécurité parce que Youtube ne fonctionne pas sans ça.
.

Je te suis parfaitement et j'évite au maximum les services google. Le problème c'est que tous les outils google ont des substituts qualitatifs, hormis justement youtube et surtout sa plateforme youtube music. Comme plateforme de consomation culturelle, c'est pour moi imbatable, je ne suis pas près a y renoncer, je paye même pour ça. Dans ce cas existe-t-il, selon-toi, une pratique de réductions des risques pour youtube users, ou c'est de toute façon une pratique kamikaze?
Merci pour nous éclairer depuis plusieurs anées en tout cas

Dernière modification par noiado (09 août 2020 à  23:41)


Des vacances pas chères: la drogue

Hors ligne

 

Jsuisunpeuenpanique homme
Nouveau membre
France
champi vert0champijaune0cxhampi rouge0
Inscrit le 15 Jul 2023
5 messages
Bonjour,

J'ai compris tous les paramètres à faire. En revanche, je n'ai pas compris si il y a besoin de "torrifier" quoi que ce soit pour commander ? Je suis petit/moyen consommateur de DD, et gros consommateur de weed.

En tête j'ai :

-.onion obligatoire, on s'en fou du https dans le cas présent.
- Niveau de sécurité au max h24.
- Block all unencrypted requests : faut le décocher.
- Bridge = le FAI ne sait pas qu'on est sur Tor.
- Changer d'identité à faire fréquemment (j'ai pas encore trop intégré le concept de QUAND on doit le faire, j'essaie de comprendre).

Est-ce suffisant pour commander en .onion anonymement ?


Merci

Dernière modification par Jsuisunpeuenpanique (15 juillet 2023 à  22:51)

Hors ligne

 

vite-1 homme
Nouveau membre
champi vert0champijaune0cxhampi rouge0
Inscrit le 30 Dec 2021
7 messages
Bonjour, j'ai déjà utilisé google avec Tor, est ce que c'est trop tard ? Merci

Hors ligne

 


Remonter


Pour répondre à cette discussion, vous devez vous inscrire

Sujets similaires dans les forums, psychowiki et QuizzZ

logo Psychoactif
[ Forum ] TOR - Utiliser un bridge tor (Pour cacher le fait que j’utilise tor)
par Manci, dernier post 22 août 2020 par filipeurre75
  2
logo Psychoactif
[ Forum ] Expériences - Aide tor
par Lunacid, dernier post 02 mai 2021 par Dapak
  18
logo Psychoactif
[ Forum ] Se connecter sur tor
par Clochette51, dernier post 24 janvier 2024 par Caro80
  8
logo Psychoactif   [ PsychoWIKI ] Tor, conception, fonctionnement et limites

Pied de page des forums