Pour lutter contre la surveillance et se protéger de la censure, les médias libres passent au .onion
Published on , Edited on , by
@nonymeCategory:
GlobalThemes:
InformatiqueAvant, le principal moyen pour la police d’interdire la diffusion d’un site Internet, c’était la saisie du serveur, une procédure parfois complexe. Avec ses dernières lois paranoïaques, l’Etat s’est doté d’autres moyens de censure : l’accès à un nom de domaine Internet peut être interdit dans un pays.
Les services cachés de Tor, ou .onion, sont un moyen d’accès alternatifs aux sites Internet. Dans le cas où un site possède déjà une adresse, en .info par exemple, l’adresse .onion est un autre moyen de le visiter plus sécurisé. En cas de requête de l’Etat auprès des fournisseurs d’accès pour interdire l’accès au nom de domaine, qui peut survenir assez brusquement, il restera le .onion. Il est donc important de les diffuser dès maintenant et d’apprendre à s’en servir !
Faisons d’abord un petit détour par la présentation des services cachés de Tor (les sites en .onion) dans le Guide d’autodéfense numérique :
Lorsque les utilisateurs de Tor souhaitent également fournir des services, comme par exemple un site web ou un serveur de messagerie instantanée, ils ont la possibilité d’en masquer l’emplacement géographique. C’est ce qui s’appelle un service caché.
De la même manière que pour chaque utilisateur du réseau Tor, l’adresse IP du serveur mis en place n’est pas dévoilée. De plus, les personnes souhaitant s’y connecter devront nécessairement utiliser le réseau Tor pour cela. Les services cachés assurent donc un certain anonymat à la fois des serveurs et des clients. Ces services cachés ont des adresses en .onion.
Afin de s’y connecter, les autres utilisateurs de Tor utiliseront le système des « points de rendez-vous » de Tor. Le « point de rendez-vous » est le troisième relai pour chacun des deux protagonistes de l’échange : le client et le service caché. Le client construit un circuit Tor avec comme troisième relai ce « point de rendez-vous ». De son côté, le service caché fait de même. Client et service caché se « rencontrent » alors et peuvent échanger des informations.
Ces services cachés peuvent par exemple permettre de mettre en place un site web sur lequel des auteurs publieraient sans craindre la censure. L’identification de l’emplacement physique du serveur qui fournit le site web, comme celle de ses contributeurs et de ses visiteurs, est en effet rendue beaucoup plus difficile que dans le cadre d’un site web conventionnel : elle nécessite de mettre en place une attaque sur le réseau Tor.
Extrait de Routage en oignon – Présentation des services cachés, du Guide d’autodéfense numérique
Il est donc nécessaire pour accéder à ces adresses en .onion de passer par Tor, ce qui se fait très rapidement grâce au Tor Browser (présentation de l’installation sécurisée sur le Guide d’autodéfense numérique).
Ensuite il faut les adresses. En voici quelques unes [1] :
Annuaire en .onion
Sites locaux :
Brest médias libres : http://brestutj2ykkybea.onion
Renversé (Suisse romande) : http://d26vp7trenverss7.onion
IAATA.info (Toulouse) : http://efjupw6biaatay5z.onion
La Rotative (Tours) : http://czlarotosh3ap5kp.onion
Mars-infos.org (Marseille) : http://wx4j4vmarsinfoxe.onion
Paris-luttes.info : http://7gelilpariscn7k2.onion
Rebellyon : http://sa6pbdrbllyona5s.onion
Reims médias libres : http://wakareimsjohxxlx.onion
Agrégateurs :
Mutu : http://tmutujlcbrjni5b5.onion
Sedna médias libres : http://m6rgrem34sednagr.onion
Planète Oignons, agrégateur de blogs geeks francophones (qui s’intéressent notamment à la sécurité et à la vie privée) : http://planets5zjp6l473.onion/
D’autres adresses à garder sous la main :
le webmail de Riseup : http://zsolxunfmbfuq7wf.onion/rc/ ;
Crabgrass, le réseau social et superwiki de Riseup : http://7lvd7fa5yfbdqaii.onion (tous les services de Riseup sont disponibles en .onion, plus de précisions ici) ;
Facebook (si si) : https://facebookcorewwwi.onion/.
Pour aller plus loin, annuaires et moteurs de recherche de sites en .onion :
The Hidden Wiki, l’annuaire historique des services cachés ;
Ahmia, moteur de recherche.
Si vous souhaitez créer une adresse en .onion pour votre site, quelques liens :
le tuto Tor pour les services cachés ;
le logiciel Shallot permet de générer une adresse dans laquelle on reconnaît quelques lettres de l’url d’origine.
Texte repris de http://atelier.mediaslibres.org/Pour-lutter-contre-la-surveillance
Notes
[1] Les adresses sont données sans https, non nécessaire normalement, même si la question du https pour les sites en .onion fait l’objet de débats parmi la communauté des développeur·euses Tor.
Ca fait quelques années qu’à Indy Nantes on propose une version service caché de notre site: http://pdzdg7cbqal33ns6.onion
Chouette de voire que d’autres types de sites y passent aussi. Un peu moins de voire qu’on est pas mentionné, quand bien même c’est pas étonnant vu l’animosité que manifeste l’auteur du blog atelier médias libres envers notre collectif et les indy plus généralement. Un jour on saura ptet si c’est autre chose qu’une bête histoire de concurrence. Bref…
Au delà de ça, cet article appele quelques réactions/précisions:
Les services cachés ne servent pas que pour des sites web (comme le laisse penser l’intro), mais pour la plupart des services sur Internet, comme le montre l’exemple du lien vers la liste des services de riseup.
L’utilisation d’un logiciel vieux de plus de 3 ans (shallot) pour générer les clefs pose un peu question: les versions récentes de Tor n’utilisent plus RSA mais curve25519, plus rapide et potentiellement plus sûr. Quitte à créer des services cachés de nos jours, autant choisir ce type de chiffrement. Ce logiciel a sans doute pas été audité, et a dans tous les cas pas suivi les developements qui ont pu avoir lieu dans la couche de chiffrement de Tor depuis.
Y’a aussi comme d’hab un peu une confusion entre l’anonymat et la sécurité (“un autre moyen de le visiter plus sécurisé”). Un service caché offre plus d’anonymat puisque la connection ne quitte pas le réseaux Tor et qu’elle passe par plus de noeuds. Mais cela n’offre pas réellement plus de sécurité (qui ne se limite pas à cacher qui communique avec qui ou à la confidentialité de la communication), notamment parce que l’authentification du service auquel on se connecte est plus faible que si l’on naviguait sur celui-ci en utilisant SSL, et en vérifiant le certificat.
Et en tout cas à partir du moment ou le site web est également présent sur l’Internet autrement que par service caché, sa localisation n’est en tout cas pas secrête.
Enfin, contre l’interdiction d’un nom de domaine dans un pays, il y a une autre solution assez simple pour l’utilisateurice: utiliser un autre serveur de résolution de nom (DNS) que celui de son FAI. Il en existe un certain nombre utilisable par tout un chacune.
– les articles de l’atelier ne sont pas écrit par une seule persone, c’est pas la peine de rendre publiques de mauvaises infos
– c’est marqué dans l’article que c’est un début de liste et il est demandé d’excuser les oublis, du coup c’est rajouter ;
– c’est cool que Nantes a fait ça depuis des années !
– ce serait chouette si chaque texte n’était pas m’occasion de règlements de comptes ou de balancer des saloperies
Bah encore eu t il fallu le savoir. Vous avez même pas mis qu’il y avait une adresse onion dans cette page https://nantes.indymedia.org/pages/intimite
Ni en pied de page, ni fait un article dessus. Il faut deviner…
http://pdzdg7cbqal33ns6.onion/ n’aboutit que très rarement voire jamais