Est-il sûr d'accéder aux sites HTTP à partir de Tor?

Non, ce n'est pas sûr. Mais le raisonnement de votre lecture est faux.

Lorsque vous utilisez Tor, la connexion entre vous et le réseau Tor est cryptée, de sorte que votre FAI ne peut pas espionner. Mais lorsque vous accédez à un site Web HTTP normal avec Tor, la connexion entre le nœud de sortie et le site Web cible n'est pas chiffrée. Cela signifie que le nœud de sortie peut écouter et manipuler toute la connexion. Vous ne savez pas si le nœud de sortie (et son FAI) est fiable, cela peut donc être très dangereux.

Cela ne s'applique pas aux services cachés (sites Web .onion). Dans ce cas, le chiffrement est de bout en bout et une autre couche HTTPS est redondante (et contre-productive car l'un des objectifs de HTTPS est de dés-anonymiser le serveur).

Ça dépend. Plus précisément, cela dépend du type de données auxquelles vous accédez et de votre modèle de menace.

Quelle protection HTTPS offre-t-il avec Tor?

Voici une ventilation de certains adversaires potentiels selon les informations à leur disposition à chaque point. Vous noterez que HTTPS ne fournit une protection qu'à l'étape finale de la connexion (entre le nœud de sortie du circuit Tor et le serveur de destination):

• Votre réseau domestique et votre FAI: Tor fournit un cryptage fort au sein du réseau. Les adversaires potentiels sur votre réseau domestique ou chez votre FAI peuvent voir que vous utilisez Tor, mais ils ne peuvent pas voir les sites Web que vous visitez.
• Le réseau Tor: Le trafic au sein du réseau Tor a plusieurs couches de chiffrement de sorte que seul le dernier nœud (le nœud de sortie) de votre circuit Tor peut voir le trafic que vous envoyez à la destination.
• Le nœud de sortie: À ce stade, le trafic quitte Tor; il peut être surveillé par le nœud Tor lui-même ou le FAI de ce nœud. C'est là que HTTPS devient important car il empêchera de fouiner sur les données contenues dans votre transaction (mots de passe, pages spécifiques que vous visitez, etc.).

Il y a un excellent diagramme interactif qui résume ce qui précède. Le diagramme vous permet d'activer Tor et HTTPS pour voir quelles informations peuvent être cachées aux différents adversaires.

Ai-je toujours besoin de HTTPS?

La réponse courte est: non, mais vous devriez l'utiliser si possible. HTTPS offre une protection supplémentaire pour les données transférées entre le nœud de sortie et le serveur de destination. Cela dépend des données que vous envoyez ou accédez et qui vous voulez empêcher de voir ces données.

Par exemple, si vous lisez un site Web d'actualités sans HTTPS, il devient possible pour le nœud de sortie Tor et son FAI de voir que quelqu'un lit un article spécifique sur un site Web d'actualités spécifique. Cependant, ils ne sauront pas qui vous êtes. Si vous ajoutez du HTTPS, ils peuvent voir le nom du site Web d'actualités que vous visitez, mais pas la page spécifique que vous visitez.

Donc, si HTTPS n'est pas disponible sur certains sites Web, l'exposition est toujours limitée. Mais, si vous souhaitez envoyer des informations telles que les noms d'utilisateur, les mots de passe ou d'autres informations d'identification, assurez-vous d'utiliser HTTPS.

Le HTTPS offre-t-il une autre protection?

Oui. Il y a un autre point qui doit être abordé: HTTPS fournit une protection contre la modification de page malveillante.

Lorsque vous vous connectez à un site Web via une connexion non chiffrée, il est possible que le nœud de sortie, le FAI du nœud de sortie ou certaines agences gouvernementales disposant de l'accès nécessaire pour modifier le trafic en transit. Cela pourrait leur permettre d'injecter d'autres contenus dans la page, y compris de la publicité ou des exploits de navigateur. Ils pourraient également changer le contenu de la page elle-même (planter de fausses nouvelles, etc.).

L'utilisation de HTTPS rend cette attaque beaucoup plus difficile car elle nécessite d'effectuer une attaque man in the middle sur votre connexion. De plus, lorsque ces types d'attaques sont effectuées, elles sont beaucoup plus susceptibles d'être remarquées.

Qu'en est-il des services cachés (sites Web sur l'oignon)?

Le trafic vers ces services est automatiquement crypté par Tor. En fait, le nom du service lui-même (l'adresse .onion) joue un rôle important dans l'établissement de la connexion cryptée.

Cependant, certains services cachés utilisent HTTPS. Facebook en est un exemple. Ils utilisent le certificat SSL pour prouver que vous vous connectez à des serveurs Facebook légitimes, et non à un site Web imposteur.

Une protection supplémentaire est-elle disponible?

Il existe quelques modules complémentaires de navigateur qui peuvent être installés.

Le pack Navigateur Tor comprend déjà:

• HTTPS Everywhere active automatiquement HTTPS lorsque le site Web de destination figure sur une liste de sites Web connus pour prendre en charge le chiffrement.
• NoScript vous permet de désactiver JavaScript, ce qui peut fournir une protection supplémentaire contre le JavaScript injecté.

Il existe d'autres choix qu'un utilisateur avancé peut également souhaiter activer. Cependant, l'ajout de ceux-ci au Tor Browser Bundle peut vous rendre plus unique par rapport aux autres utilisateurs de Tor, donc installez-les uniquement si vous savez ce que vous faites:

• Politique de demande offre une protection supplémentaire contre les attaques qui insèrent des iframes ou d'autres contenus distants dans votre connexion.

La dernière ligne de défense est la vigilance humaine. Soyez attentif à tout ce qui est suspect. On ne sait jamais quels dangers peuvent se cacher dans l'ombre.

Vous avez toujours besoin de HTTPS car n'importe qui sur les nœuds de sortie Tor peut lire votre trafic HTTP.

Par exemple. Tor fournit une protection afin que votre FAI ait du mal à lire votre trafic, mais ce n'est pas un chiffrement de bout en bout. Vous ne pouvez pas être sûr de qui/où est votre sortie ou qui la contrôle et ils auraient toujours la possibilité d'intercepter votre trafic non crypté

Voir le schéma ci-joint pour clarifier: http://www.flickr.com/photos/albill/1263976173/