Mail en service caché Tor impossible | hidden.bressure.net

Tor est un outil d’anonymisation qui vise à permettre un accès non censuré aux services web classiques (web, mail etc). Dans les faits Tor d’intercale entre l’utilisateur (navigateur web, application de courriel etc) et le serveur distant. Tor est donc surtout fait pour l’anonymisation des clients.

Toutefois une fonctionnalité intéressante de Tor est de permettre à tout un chacun de diffuser des services cachés accessibles par une adresse en .onion ! Cela fonctionne bien pour les applications serveur qui n’on besoin que d’une adresse IP. Cette dernière sera remplacée par une adresse en onion. Cela ne fonctionne par exemple pas pour des services comme le mail qui se base également sur le DNS, comme nous allons le voir.

La suite sur mon blog caché avec Tor:

Mail en service caché Tor impossible | hidden.bressure.net.

Plus de 6300 relais Tor actifs | hidden.bressure.net

L’usage de Tor grandit de jour en jour. Le nombre de relais en service s’est encore accru. Il y a en a plus de 6000 maintenant (observé le 2 septembre) . Tor est un réseau de machine qui permet d’anonymiser au sens de l’adresse IP le client (ex: navigateur web) par rapport au serveur (le serveur ne connait pas qui est le client réellement) et inversement d’anonymiser le serveur au sens de l’adresse IP (ex: un serveur web) par rapport aux clients (qui ne connaissent pas qui est le serveur). C’est un puissant outil pour braver la censure, plus d’info sur la promotion de tor tor challenge ou en lisant mon billet.

relais-tor

Plus de 6300 relais Tor actifs | hidden.bressure.net.

N900, what else ?

Comme je bénie le jour où j’ai acquis mon N900. Ce téléphone Linux est vraiment irremplaçable. C’est avant tout une machine qui se veut être un ordinateur de poche. Cette dénomination ravive les souvenirs des ordinateurs de poche des années 80 et signifie emporter avec soi tous les outils de calcul présents sur une machine de bureau.

La suite sur mon blog caché N900, what else ? hidden.bressure.net

Séquelle d’OpenSSL avec Tor

En voulant participer à la campagne de l’EFF en faveur de Tor j’ai remarqué que mon relais n’était plus connecté au réseau. Ce problème problème ne semble pas affecter l’utilisation de Tor en tant que client mais uniquement les relais. La récente faille dans OpenSSL en est la cause: les répertoires de nœuds ont banni les relais dont les clés ont été générées avec des versions vulnérables d’OpenSSL.

Une mise à jour de la librairie OpenSSL via un apt-get upgrade et un redémarrage du service tor, après avoir supprimé les clés privées, permet alors de régler le problème.

# apt-get update 
# apt-get upgrade 
# service tor stop 
# rm -f /var/lib/tor/keys/* 
# service tor start 

Tor gagne du terrain: 5436 relais

Le 11 février dernier était la journée d’action contre la surveillance de masse //thedaywefightback.org/. Malheureusement cela n’a suscité que peu d’intérêt et peu de relais dans les média mais justement à propos des relais: où en est Tor ? La suite sur mon blog caché:

//awsyja6cjl2qmy7m.onion/blog/?p=1221

Si vous ne pouvez pas utiliser Tor ou que votre anonymat n’a pas d’importance alors vous pouvez utiliser un proxy Tor comme celui proposer par l’url suivante:

//awsyja6cjl2qmy7m.tor2web.org/blog/?p=1221

Le web caché est multiple

Cette article liste quelques outils qui permettent d’accéder au web caché. Pour accéder à l’article vous devez utiliser Tor et aller à l’url suivante:

//awsyja6cjl2qmy7m.onion/blog/?p=1203

Si vous ne pouvez pas utiliser Tor ou que vous considérez que votre anonymat n’est pas important, vous pouvez utiliser l’url suivante. Dans ce cas votre localisation (adresse IP) n’est plus anonyme.

//awsyja6cjl2qmy7m.tor2web.org/blog/?p=1203

Serveur web personnel disponible en service caché

Vous êtes sur mon serveur web personnel. Vous pouvez y accéder en HTTPS //perso.bressure.net/ et je vous le recommande vivement afin de garantir la confidentialité des échanges ainsi que leur authenticité. Pour cela vous devez d’abord ajouter mon certificat X509 dans votre navigateur. Le plus simple, si vous me faites confiance, est d’ajouter mon certificat dans votre navigateur en tant qu’autorité de certification //perso.bressure.net/cert/cacert.pem dont voici le contenu textuel //perso.bressure.net/cert/cacert.txt

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 16835386390408088561 (0xe9a34eb970b84bf1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=FR, ST=France, O=bressure.net, CN=Thierry Bressure/emailAddress=thierry@bressure.net
        Validity
            Not Before: Dec 13 09:07:31 2013 GMT
            Not After : Dec 11 09:07:31 2023 GMT
        Subject: C=FR, ST=France, O=bressure.net, CN=Thierry Bressure/emailAddress=thierry@bressure.net
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (5096 bit)
                Modulus:
                    00:eb:6e:3e:58:53:71:92:06:50:98:2b:e7:4c:be:
                    1e:3b:39:2c:6d:35:a7:32:b9:28:a7:62:11:38:c6:
                    8a:94:bb:de:d7:b9:3e:0e:3b:7f:bd:fe:7d:7d:26:
                    7d:d0:dd:c4:95:9c:ba:f8:98:d2:bb:e1:81:60:a6:
                    55:dc:dc:61:f7:5a:e2:ff:2a:79:98:4d:57:50:2c:
                    f0:0a:68:ab:45:3d:7a:07:c0:9b:b0:64:90:15:44:
                    86:e1:84:01:32:ca:79:5d:e4:ae:fd:da:4f:3c:3c:
                    91:49:75:12:05:62:dd:7c:0d:b3:16:27:1d:7f:0f:
                    50:1d:e3:0c:44:93:e8:71:12:ad:cf:46:bf:d3:e1:
                    e8:e2:6b:09:23:f1:c8:9a:ef:8a:63:2a:0b:dd:1e:
                    d7:0d:24:eb:e2:86:4f:42:13:8c:77:63:00:4f:83:
                    a7:25:dd:bf:2d:2f:d2:64:51:ee:c8:1a:e9:b4:fb:
                    42:94:63:70:2d:80:ab:38:a9:cd:ff:b1:cf:97:8e:
                    eb:5a:a1:d0:e0:bd:c1:90:91:e2:c7:99:61:a1:4d:
                    cb:30:71:e3:70:e6:b2:f3:d5:cc:48:e7:fd:a7:34:
                    fe:1a:78:1c:0c:0e:89:91:a1:8d:67:19:2c:02:9e:
                    b9:58:2b:6a:ae:f1:29:fc:76:a4:c0:c6:37:5c:3e:
                    56:26:92:10:96:8e:fd:72:19:78:3c:7d:53:b2:14:
                    f3:4d:07:ab:b9:f3:03:09:cd:ac:3b:3c:d2:15:12:
                    4f:42:6f:55:07:b2:64:7d:e5:aa:c4:11:71:39:a4:
                    7f:83:a2:bc:f8:f2:13:44:81:9d:08:3b:49:38:e9:
                    76:73:4a:56:b1:43:44:69:e7:e8:33:ac:59:75:f5:
                    60:02:c3:51:c4:c7:bc:82:62:e7:e8:e0:b7:89:8b:
                    01:99:67:f4:94:9f:fa:ea:77:ad:ae:f4:88:30:e6:
                    37:9f:cc:ae:ea:6f:0e:ab:67:e5:3b:f5:55:78:e7:
                    9b:a0:b4:c4:0c:c8:48:d9:67:7c:57:e6:d4:74:88:
                    25:75:b7:6f:76:a6:00:1f:3c:f5:83:e0:44:00:a1:
                    4b:e2:a9:ff:66:c3:cc:32:06:1e:17:dc:3d:7e:5a:
                    cb:1a:3d:39:1a:33:8b:5a:11:ab:67:9a:f8:a7:32:
                    6c:5c:90:1a:bc:93:78:1d:6d:89:1a:1c:99:14:cf:
                    23:8d:58:90:f7:0d:49:14:ed:0d:45:98:fa:93:ce:
                    c1:79:0e:76:b2:a6:9d:bd:bb:ab:39:de:e3:e7:bd:
                    aa:6f:b4:a5:21:1d:8a:59:4b:75:fe:b2:13:07:d4:
                    55:76:56:06:d7:8a:e5:43:00:cb:74:25:0b:6a:05:
                    b2:50:c2:a3:4b:0c:de:4f:99:47:db:c2:8a:e4:d6:
                    69:e9:66:8f:f0:b0:39:3d:bf:16:7d:f8:65:8d:97:
                    f5:f4:1e:fc:72:bd:08:1c:27:08:ea:b0:9c:da:b4:
                    61:58:93:ea:6b:fe:c3:4c:89:cc:a7:ec:62:ad:b0:
                    ad:30:17:38:24:9c:45:b2:4c:2d:b8:31:e3:8b:4d:
                    8a:31:e3:02:0f:a2:d9:94:e4:b3:fc:94:9e:82:43:
                    f5:7b:67:4f:f2:4c:d1:28:27:c3:35:fc:75:7f:b8:
                    2d:38:03:d7:04:92:4a:43:97:a4:43:7f:cc:14:41:
                    1d:a2:fc:2c:2e:16:85:23
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                54:02:70:7F:7D:7F:A6:E5:D5:8B:EB:FF:AC:41:B2:A4:A9:52:7C:BA
            X509v3 Authority Key Identifier:
                keyid:54:02:70:7F:7D:7F:A6:E5:D5:8B:EB:FF:AC:41:B2:A4:A9:52:7C:BA

            X509v3 Basic Constraints:
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
         3b:07:63:32:39:6f:ea:cb:84:29:8f:05:9b:8d:8d:11:6b:27:
         5d:aa:d2:45:ce:fb:8c:48:95:54:10:81:67:31:b2:0a:d4:cb:
         bf:bb:8a:c3:f4:8a:e5:45:c7:c0:87:f6:22:f0:e7:86:3d:b7:
         a2:9d:09:8c:9f:28:0b:c4:70:08:a4:32:e8:78:e0:32:83:24:
         5b:f5:58:78:bc:49:91:e8:4b:5b:3d:d8:22:84:ae:31:50:83:
         27:3a:02:da:14:0e:76:96:ad:66:f8:0f:9e:0c:91:30:85:b7:
         54:3d:a5:3e:f8:20:04:9a:e8:2a:8c:40:68:01:f1:57:3b:7c:
         d1:89:81:ae:5e:1e:25:39:20:19:db:e0:8c:d3:dc:5d:1d:66:
         55:9a:61:9b:10:15:2d:eb:23:de:a3:c3:6d:3b:8b:0d:c1:e2:
         70:00:48:cc:fe:e6:d0:4d:68:bd:49:ed:ff:2c:b2:26:52:3d:
         7d:d8:52:d9:49:0d:40:6f:be:db:a7:7b:8d:60:aa:7e:f5:23:
         b8:8f:7b:43:4a:12:e6:bf:2f:1d:57:9a:c4:57:42:8d:1f:71:
         ab:bc:e5:33:66:80:f6:d9:fb:ab:8b:63:3e:8e:b4:82:92:3e:
         87:92:62:ef:d6:f5:74:03:2a:48:4b:ab:ac:92:a5:16:74:06:
         e3:6b:04:5a:a5:e9:54:aa:69:fd:0b:29:75:ad:31:83:e9:94:
         77:36:94:8c:95:f3:e2:02:8b:e2:85:4c:0c:fd:5d:f8:04:da:
         55:2a:4d:3b:b6:a4:e5:26:88:e0:9a:f6:84:9a:c8:17:6a:d5:
         0a:80:83:19:58:51:87:49:30:2e:77:1a:d9:c5:d0:e2:15:5e:
         36:ef:ab:c4:3e:b3:85:dc:d4:a3:30:1c:15:ec:26:3d:ba:a6:
         5e:18:8c:bb:0d:c0:d8:ff:90:03:54:2b:24:4f:7c:b8:ec:87:
         77:21:b4:41:ed:15:8a:03:d8:69:c8:94:5d:61:d1:d7:06:57:
         28:b9:ca:ad:8e:9a:75:79:58:ac:f9:73:9f:40:18:d8:9c:9d:
         de:f8:7a:d7:9c:30:bc:12:ee:a5:dc:85:4c:cc:95:5a:46:c8:
         ba:88:6e:93:50:27:2a:ab:61:fb:0c:8e:bc:2d:d7:7f:42:e5:
         f0:5f:83:ae:3b:c9:65:e0:82:b9:b8:bd:64:15:33:e8:e3:fe:
         66:7b:ed:e0:6b:b6:1f:14:e6:45:c0:60:73:39:26:c4:89:8d:
         5a:3d:c7:3d:51:29:cb:93:c5:88:f9:fe:9a:a9:1a:d2:86:85:
         f1:0c:42:08:6b:0b:7a:a6:44:37:8c:60:9d:2e:b9:56:07:35:
         6b:05:c2:9e:05:9b:37:fe:2a:1f:4e:0d:15:43:ae:9d:f7:8e:
         aa:65:02:90:f8:ac:98:98:26:08:6d:89:3f:ae:34:67:2f:da:
         90:25:63:81:48:f0:71:7c:0b:62:23:ad:b2:fe:a9:28:e0:f6:
         99:f2:f9:51:88:f7:54:18:ce:53:48:fb:d1:c2:39:28:4f:94:
         5e:5d:09:a0:6b:50:81:1c:df:5c:2c:1d:19:cc:32:32:f3:4d:
         4a:80:f8:2a:c3:38:24:1f:f1:63:5d:be:22:bb:5a:1a:58:56:
         0e:72:5a:30:d5:17:90:8d:a9:ba:5f:c6:49:5b:2f:d7:6f:7f:
         b6:8a:be:00:89:34:ff
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Utiliser une connexion HTTPS ne vous protège pas d’un pistage: tout le monde saura que vous avez accédé à mon serveur web car tout le monde peut savoir que votre IP a accédé à mon IP. De plus avec les log de mon serveur apache je saurai qui vous êtes et vous savez qui je suis. Or vous n’avez pas besoin de connaitre mon IP (ma localisation) et moi je n’ai pas besoin de connaitre votre IP (votre localisation). Ce concept d’anonymat IP n’est pas adressé par HTTPS et devrait nous préoccuper (voir mes billets précédents). Heureusement je vous propose d’accéder à mon blog de manière anonyme car je maintient également et prioritairement un service web caché dans Tor. Vous devez installer Tor sur votre ordinateur et pointer votre navigateur sur l’url onion:

//awsyja6cjl2qmy7m.onion

accessible bien entendû en HTTPS également.

Diffusion des services cachés

English: onion
English: onion (Photo credit: Wikipedia)

Nous avons vu précédemment comment mettre en place un service caché. Il s’agissait d’un serveur web, caché quelque part derrière un noeud Tor et désigné avec une url onion. Le service caché est accessible sans que le client et le serveur ne dévoilent leur adresse IP (et donc leur localisation).

Le web caché est malheureusement non répertorié par les moteurs de recherches courants et donc sa diffusion est restreinte aux connaisseurs du réseau Tor. Il est vrai également que tout ce qui est caché est un peu suspect car tout ceux qui entreprennent des activités contraires à la volonté du pouvoir en place, le font dans la clandestinité. C’est peut-être pour ça qu’il y a peu d’intérêt pour l’usage des services cachés et qu’on entend souvent “Si on n’a rien à cacher on n’a pas besoin d’anonymat ni du respect de la vie privée”. Pourtant l’anonymat est le seul moyen qui garantie la liberté contre toute forme d’oppression. Ainsi le passage dans l’isoloir permet l’anonymat du bulletin de vote et garantie la libre expression du suffrage.  Donc tout devrait être anonyme: tout le web devrait être anonyme ! C’est pourquoi nous devrions tous utiliser des services d’anonymisation qu’il s’agisse d’un site gouvernemental ou de dissidence…

Démocratisons l’usage de service caché

Pour œuvrer dans se but il faut créer autant de services cachés que possible. Si on possède un site dans le web normal (appelé clearnet) on peut en parallèle ouvrir un service caché mirroir du site normal. Le site caché est alors une copie dans Tor du site public. Quel intérêt ? Il faut se dire que demain on peut être victime d’une oppression (fermeture arbitraire de la part de l’hébergeur, saisie de serveur etc.) et si cela arrive alors un service caché permettra de se prémunir d’un muselage numérique, car même si l’anonymat n’est pas le but ici, les services cachés de Tor offrent une parade à l’oppression: un service caché installé dans une machine virtuelle sera facilement trasnférable d’un site à un autre pour échapper à l’oppresseur tout en gardant la même identité (adresse onion).

Une fois que les sites existants auront tous leur clône dans le web caché et que bien entendu le lien vers les clônes ajoutés dans les pages du clearnet, alors les moteurs de recherches indexeront également ces pages. Cela permettra de rendre visible ce mécanisme essentiel à la liberté des idées qu’est l’anonymisation.

En même temps que cette publicité des services cachés dans le clearnet, les nouveaux services (sites web, serveur ftp etc) doivent être pensés avec l’idée de l’anonymat et donc doivent délaisser le clearnet. Le réflexe doit s’appeler Tor. Créons les nouveaux services dans le web caché et uniquement là. Pour l’indexation des nouveaux services, le web caché dispose de  quelques index regroupant des sites onions mais on est loin de la richesse des index du web courant. Citons les 2 suivants: TorSearch et AHMIA.