DΞADCORΞ E.SEC
Membre
- Inscription
- 20 Juin 2016
- Messages
- 120
- Réactions
- 69
- Points
- 1 586
Utiliser Tor, c'est une bonne chose mais ça ne suffit pas pour être totalement anonyme et en sécurité, alors voici un petit tuto pour configurer son navigateur Tor.
Tout d'abord vérifiez que vous possédez la dernière version de
Voici les paramètres à appliquer pour mener à bien vôtre navigateur Tor :
Tout d'abord vérifiez que vous possédez la dernière version de
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Voici les paramètres à appliquer pour mener à bien vôtre navigateur Tor :
1. Demander les pages en anglais
Demander les pages en français mettrait sérieusement à mal une partie de votre anonymat. Pour ne pas paraître différent des autres navigateurs, il vaut mieux demander les pages en anglais.
Lors de la première utilisation, TorButton vous demande s'il doit demander les pages en anglais. Si vous n'avez pas dit oui, je crois que vous pouvez activer cette option en cliquant sur l'icône Tor Button, puis sur Préférences, et cocher la case "Modifier les détails qui vous distingue des autres utilisateurs de Navigateur Tor" qui est dans l'onglet "Paramètres de sécurité".
Pour vérifier, dans un nouvel onglet tapez about:config
Cherches les valeurs suivantes ;
extensions.torbutton.spoof_english --> Doit être sur la valeur True
extensions.torbutton.spoof_language --> Doit être sur la valeur en-us, en
extensions.torbutton.spoof_locale --> Doit être sur la valeur en-US
Vous pouvez aussi vous rendre dans Préférence > Contenu > Langues et choisir Anglais/etas-Unis [en-us]
2. NoScript & JavaScript
Activer NoScript est indispensable. Cliquez sur le S en haut à gauche puis sur "Interdire JavaScript globalement". Cliquez à nouveau sur le S, allez dans "Options", dans l'onglet "Objets embarqués" et cochez toutes les cases. Si vous ne faites pas confiance NoScript pour bloquer JavaScript ouvrez un nouvel onglet à l'adresse : about:config. Cherchez la valeur javascript.enabled et double-cliquez dessus pour la passer à "false".
3. Les extensions
Sur Tor Browser, n'installez JAMAIS d'extensions (oui, contrairement à ce que j'aurai pu dire dans un de mes précédents tutos). Les sites peuvent consulter la liste des extensions installées sur le navigateur. Cela modifie l'empreinte de votre navigateur et le rend moins unique.
4. Téléchargements
Sauf si vous l'avez désactivé, lorsque vous télécharger un fichier avec TorBrowser, vous devriez avoir un avertissement avec deux options : une est d'ouvrir le fichier, l'autre de l'enregistrer. Surtout ne choisissez jamais d'ouvrir un fichier directement ! Vous exposeriez votre vraie adresse IP (pas votre adresse IP Tor) au site. Ne téléchargez jamais de fichier de fichier exécutable à partir du clearnet avec TorBrowser.
5. HTTP Referer
Wikipedia a dit:
Un référant, plus connu sous l'anglicisme referer ou referrer, est, dans le domaine des réseaux informatiques, une information transmise à un serveur HTTP lorsqu'un visiteur suit un lien pour accéder à l'une de ses ressources, lui indiquant l'URL de la page où se situe ce lien qu'il a suivi.
En gros ça dit au site "Eh coucou ! Pour venir jusqu'à toi j'ai suivit un lien à partir de ce site." Si vous venez d'un moteur de recherche ce n'est pas gênant. Par contre si le referer indique l'adresse d'un site en .onion ...
Pour se faire on retourne dans : about:config :
network.http.sendRefererHeader --> Passez la de 2 à 1. Si vous mettez 0 certains sites peuvent ne plus fonctionner
extensions.torbutton.refererspoof --> Passez la à 1 au lieu de 0
network.http.referer.spoofSource --> Passez la à True au lieu de False
network.http.sendSecureXSiteReferrer --> Passez la à False au lieu de True
La meilleur manière d'éviter le referer reste de faire un copier/coller du lien
6. Les bridges obfs3
En vous connectant à Tor "normalement" votre fournisseur d'accès (FAI) peut voir que vous vous connectez aux relais et faire une liste des utilisateurs. L'obfs3 obfusque (brouille) les transactions pour rendre leur analyse plus difficile. De plus, la liste des bridges (ponts) obfs3 n'est pas publique. Les utiliser empêche votre FAI de voir que vous êtes connecté à Tor.
Au démarrage de Tor, cliquer sur configurer. Dans le questionnaire, cliquez sur suivant jusqu'à la question "Votre fournisseur d'accès Internet bloque t-il les connexions au réseau Tor ?" et indiquez non. Après avoir encore cliqué sur suivant, le questionnaire va vous demander de sélectionner quel type de bridges vous souhaitez utiliser. Normalement, obfs3 est sélectionné par défaut. Si ce n'est pas le cas sélectionnez le et cliquez sur connecter.
7. Le tracking par ETAG (parano)
Votre navigateur enregistre souvent des pages dans sa mémoire cache. Cela évite de devoir redemander la page toutes les 30 secondes. A chaque pages données, le serveur donne au navigateur un ETAG. C'est une suite de chiffre et de nombre qui changera si la page est modifiée. Normalement utilisé à des fins utile (ne pas consommer trop de bande passante) son usage peut-être détourné en donnant un ETAG unique à chaque navigateur. La seule façon de s'en protéger est de vider son cache très régulièrement ou encore d'en interdire l'utilisation. La meilleure solution est de se rendre régulièrement dans le menu de Tor Button et de sélectionner "Nouvelle identité".
8. Les canvas HTML
Un canvas est une image que devra générer votre navigateur en prenant en compte votre matériel comme la carte graphique et d'autres paramètres. Ce canvas permet de réunir beaucoup d'information sur votre navigateur. Pour s'en protéger il suffit de désactiver les scripts dans NoScript (puisque qu'il s'agit souvent de script JS). Si vous avez laissez votre Javascript activé pour X raisons, le navigateur Tor vous préviendra si un site tente de vous faire générer un canvas. Choisissez toujours de le bloquer. Même tout les scripts désactivé le navigateur Tor affichera une alerte en cas de tentative d'extraction d'un canvas HTML.
9. Websocket
Websocket est un fonctionnalité utilisant JavaScript. Si il est correctement désactivé vous n'êtes normalement pas concernés. Il est tout de même utile de le désactiver dans l'éventualité où vous devriez activer temporairement JavaScript.
Dans about:config passer network.websocket.enabled à False en double cliquant dessus.
10. Optimisation
Ces options ne sont pas obligatoire et ne concernent pas la sécurité du navigateur.
network.http.connection-timeout --> Passez la à 120 au lieu de 90. Éviter le timeout.
network.http.pipelining.max-optimistic-requests --> Passez la valeur à 8. Concerne le pipelining.
network.http.pipelining.maxrequests --> Passez la valeur à 20. Concerne le pipelining.
Pour finir, vous pouvez tester votre referer, votre user agent et plein d'autres choses en cliquant sur les liens ci-dessous (avec Tor) :
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Je rajoute comment déjouer la faille très connue WebRTC:
Dans about:config --> media.peerconnection.enabled -> Passez à False.
Voilà, il s'agit d'un regroupement d'astuces que j'ai prit d'un peu partout sur le web, en complétant et modifiant afin d'essayer d'être le plus clair possible. Si ça vous a plu, vous savez comment me remercier.
[teams]2703[/teams]
Dernière édition: