VPN sur Tor

Utilisation de VPN sur Tor pour une connexion anonyme sécurisée à Internet

Comme indiqué dans le tableau des ressources d’enquête du guide sur les fuites et la soupe à l’oignon, certains services Web utiles rejettent les utilisateurs de Tor par principe. Si vous avez besoin d’un accès anonyme à ces sites — ou si vous avez besoin d’y accéder tout en utilisant Tails — vos demandes devront provenir d’un autre endroit qu’un relais de sortie Tor connu. Une façon d’y parvenir, tout en bénéficiant de la plupart des avantages de l’anonymat de Tor, consiste à ajouter un « saut » VPN après le relais de sortie à la fin de votre circuit Tor.

Cette méthode est souvent appelée « VPN sur Tor » pour la distinguer des configurations « Tor sur VPN », qui fonctionnent dans la direction opposée. (Le routage de Tor sur un VPN ajoute un saut VPN avant votre relais d’entrée Tor et est parfois utilisé pour atteindre le réseau Tor à partir d’endroits où il est bloqué. Nous ne discuterons pas de cette technique en détail car les relais de pont Tor sont généralement considérés comme un meilleur moyen d’atteindre cet objectif.)

Risques

Il est important de comprendre que compléter Tor avec un VPN ne renforce pas la sécurité ou l’anonymat de vos activités en ligne. En fait, cela réduit votre anonymat de manière significative dont nous discuterons ci-dessous. La seule raison pour laquelle vous devriez utiliser un VPN sur Tor est d’accéder à des services qui bloquent les utilisateurs de Tor.

Le wiki du projet Tor comprend une explication des risques associés à cette configuration, mais nous résumerons les trois points principaux ci-dessous.

1. Un VPN sur Tor ne prend pas en charge la « commutation de circuit »:

Tor permet normalement à différentes requêtes réseau d’utiliser différents chemins à travers le réseau Tor, ce qui signifie qu’elles proviennent souvent de différents relais de sortie avec des adresses Intenet différentes. En revanche, tout le trafic utilisant une connexion VPN sur Tor semblera provenir du même emplacement (votre serveur VPN). C’est, bien sûr, le point. Mais cela permet également aux sites Web que vous visitez de corréler plus facilement votre trafic.

Voici un exemple simpliste:

  • Vous vous connectez à un service avec votre nom d’utilisateur normal. Un compte de messagerie, par exemple, ou un forum de discussion où vous devez publier avec votre véritable identité.

  • Dans un autre onglet, vous vous connectez à un service avec un compte pseudonyme. (Voir notre ressource Jeux de domaine pour une explication de la pseudonymité et quelques exemples concrets.)

  • Au fil du temps, toute personne ayant la capacité de comparer les enregistrements de trafic ou les journaux d’accès des deux services aura de bonnes chances de comprendre que ces deux comptes appartiennent à la même personne. Et cela pourrait être plus facile qu’il n’y paraît si les deux sites s’appuient sur la même plate-forme publicitaire ou le même réseau de diffusion de contenu (CDN), par exemple, ou s’ils font l’objet d’une surveillance passive continue.

2. L’anonymat d’un VPN sur Tor dépend entièrement de l’anonymat de votre VPN:

L’une des raisons pour lesquelles les gens utilisent Tor est qu’il fournit un anonymat qui ne nécessite pas de faire confiance à la compétence technique d’un service particulier ou à son engagement envers la vie privée de ses utilisateurs. Mais si vous ajoutez un serveur VPN au mix de cette façon, ce sera la chose qui se connecte directement aux services auxquels vous accédez. Donc, si votre fournisseur de VPN est compromis (ou vous vend), le fait que vous ayez utilisé Tor pour y arriver peut devenir sans importance. Idéalement, vous devriez :

  • Trouver un service VPN de confiance ;
  • Assurez-vous qu’il prend en charge le protocole OpenVPN;
  • Créez votre compte sur ce service à l’aide du navigateur Tor ou de Tails ;
  • Inscrivez-vous avec un pseudonyme et une adresse e-mail qui ne peuvent pas vous être liées;
  • Utilisez un mode de paiement anonyme (comme indiqué dans la ressource Jeux de domaine) si nécessaire ; et
  • Ne vous connectez pas via le VPN ou n’administrez pas votre compte sauf si vous utilisez le navigateur Tor ou Tails.

3. Vous ne devez utiliser un VPN sur Tor que lorsque vous devez absolument

La technique décrite ci-dessous vous permet de faire fonctionner deux versions du navigateur Tor en même temps. L’un fonctionnera normalement et l’autre acheminera votre VPN sur Tor. Pour les raisons mentionnées ci-dessus, vous devez utiliser l’instance non VPN du navigateur Tor dans la mesure du possible, même si cela signifie devoir parcourir s périodiquement.

Enfin, gardez à l’esprit que certains sites Web bloquent également l’accès aux VPN. Selon l’expérience d’un chercheur, cependant, seuls 11 des « 1000 meilleurs sites Web » d’Alexa bloquent les utilisateurs de VPN, alors que 40 bloquent les utilisateurs de Tor. (Dans une tournure ironique, le blog de ce chercheur est lui-même inaccessible depuis au moins certains nœuds de sortie de Tor. Donc, si vous utilisez Tails, vous devrez peut-être terminer ce guide avant de pouvoir jeter un coup d’œil.) Le projet Tor maintient également une page wiki qui répertorie les sites Web connus pour être inaccessibles à partir de Tor.

Configuration d’un VPN pour fonctionner sur Tor sur Tails

Ce guide a été écrit pour Tails et n’a pas été testé avec le navigateur Tor fonctionnant sur un système Linux standard. Cela ne fonctionnera pas non plus sur les appareils Windows ou Mac OS X, bien que l’on pourrait probablement modifier le vot.sh script, et les étapes ci-dessous, pour obtenir le même résultat sur ces systèmes d’exploitation.

Une fois que vous avez démarré Tails avec la persistance activée, préparer votre système Tails à utiliser un VPN sur Tor nécessite cinq étapes. Vous n’aurez à passer par ce processus qu’une seule fois :

  1. Inscrivez-vous anonymement auprès d’un fournisseur OpenVPN et choisissez une phrase secrète forte
  2. Mémorisez cette phrase secrète ou enregistrez-la en toute sécurité à l’aide de KeePassX
  3. Téléchargez le certificat de CA de votre fournisseur VPN .pemà l’emplacement approprié et renommez-le
  4. Assurez-vous d’avoir un .ovpnfichier à l’emplacement approprié
  5. Téléchargez le script vot.sh que vous utiliserez pour activer le VPN sur Tor

Étape 1: Inscrivez-vous auprès d’un fournisseur OpenVPN

Pour la suite de ce guide, nous utiliserons le service VPN « Red » fourni par RiseUp. Il s’agit d’un service gratuit, axé sur la confidentialité, bien configuré et géré par une organisation digne de confiance. Pour créer un compte, vous aurez besoin d’un  » code d’invitation  » d’un utilisateur RiseUp actuel. Si vous en avez un, vous pouvez accéder à la page nouveau compte, choisir un nom d’utilisateur qui ne fournit aucun indice sur votre identité réelle et définir une phrase secrète forte. Vous devez faire tout cela via le navigateur Tor ou lors de l’exécution de Tails.

Si vous ne connaissez aucun utilisateur de RiseUp à qui demander un code d’invitation — ou si vous craignez d’être vu comme utilisant un VPN clairement associé à des activistes — vous pouvez essayer d’adapter les instructions ci-dessous pour travailler avec n’importe quel fournisseur OpenVPN. Si vous choisissez un service commercial, vous pouvez vous référer à la ressource Jeux de domaine pour obtenir des informations sur les achats en ligne de manière anonyme.

Étape 2: Enregistrez vos nouvelles informations de compte dans KeePassX

Plutôt que d’essayer de mémoriser un autre nom d’utilisateur et une phrase secrète, nous vous recommandons de les enregistrer dans KeePassX, qui est préinstallé sur Tails. Cela vous aidera également à vous rappeler de ne pas utiliser ce VPN en dehors de Tails, ce qui est important pour l’anonymat.

Étape 3 : Téléchargez le certificat CA de votre fournisseur

La sécurité de votre connexion VPN dépend de l’obtention du certificat CA correct de votre fournisseur. Lorsque vous téléchargez des certificats, assurez-vous d’utiliser un lien HTTPS qui pointe vers une page Web gérée par votre fournisseur. Vous pouvez télécharger le certificat RiseUp ici et en savoir plus sur son importance ici.

De nombreux VPN commerciaux sont livrés avec un programme d’installation qui inclut le certificat CA ainsi qu’un client OpenVPN préconfiguré. Nous ne recommandons pas d’exécuter des installateurs comme celui-ci sur Tails, mais si vous modifiez ce guide pour fonctionner sur un système Linux standard et que vous ne trouvez pas de lien de téléchargement sécurisé pour le certificat CA de votre fournisseur, vous devrez peut-être installer leur logiciel et fouiller sur votre système pour trouver le certificat afin que vous puissiez le copier à l’emplacement correct comme indiqué ci-dessous.

Téléchargez le fichier RiseupCA.pem à partir du lien ci-dessus, enregistrez-le dans /home/amnesia/Tor Browser, puis exécutez les commandes ci-dessous dans le Terminal: 

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

Ces commandes vont:

  1. Créer un dossier appelé vpndans le répertoire de persistance de Tails,
  2. y déplace le certificat CA et
  3. le renomme vot-ca.pem.

Étape 4: Créez le fichier de configuration OpenVPN

La configuration recommandée par RiseUp est là.Voici une version simplifiée avec quelques modifications mineures pour la rendre compatible avec notre configuration VPN sur Tor.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

Copiez le texte ci-dessus, puis exécutez la commande suivante dans le Terminal pour ouvrir un éditeur de texte et créer un nouveau fichier appelé vot.ovpn dans le dossier vpn: 

gedit /home/amnesia/Persistent/vpn/vot.ovpn

Maintenant, collez dans la configuration ci-dessus, cliquez et quittez l’éditeur.

Étape 5: Téléchargez le vot.script sh

Le script qui installera une copie temporaire du client OpenVPN et l’utilisera pour se connecter à votre fournisseur via Tor est ici. Copiez le contenu de ce script, puis exécutez les commandes suivantes dans Terminal pour créer un nouveau dossier appelé bin dans le répertoire de persistance de Tails et un nouveau fichier appelé vot.sh dans ce dossier : 

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

Collez maintenant le contenu du script à partir du lien ci-dessus, cliquez et quittez l’éditeur. Enfin, exécutez la commande suivante dans Terminal pour rendre ce script exécutable:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

Lancer un VPN sur Tor

Après avoir terminé les étapes de configuration initiales ci-dessus, l’activation de votre VPN sur Tor nécessite quatre étapes :

  1. À partir du terminal, exécutez le script vot.sh, qui installera le logiciel nécessaire, configurera le client OpenVPN pour utiliser Tor et demandera votre nom d’utilisateur et phrase secrète pour qu’il puisse se connecter à votre service VPN via Tor ;
  2. À partir d’une nouvelle fenêtre de terminal, lancez une deuxième instance du navigateur Tor avec la permission de se connecter via le VPN;
  3. Désactivez un paramètre de proxy dans la nouvelle fenêtre du navigateur Tor ; et
  4. Désactivez une option de configuration DNS dans la nouvelle fenêtre du navigateur Tor.

Étape 1: Exécutez le vot.sh script

Lancez une nouvelle fenêtre de terminal et exécutez le script avec :

sudo ~/Persistent/bin/vot.sh

Entrez votre phrase secrète administrative Tails lorsque vous y êtes invité. Lorsqu’il est prêt à se connecter, le script vous demandera également votre nom d’utilisateur VPN et votre phrase secrète.

Terminal de lancementExécutez vot.shConnectez—vous au VPNVPN en cours d'exécution

Lorsque le script vot.sh cesse de défiler — en supposant qu’il ne soit pas revenu à l’invite – votre connexion VPN devrait être prête. Cela se produit généralement la deuxième fois qu’il est dit: « Séquence d’initialisation terminée. »

Étape 2 : Lancez une nouvelle instance de navigateur Tor

Lorsque votre connexion VPN est prête, vous devrez ouvrir une autre fenêtre de terminal et lancer une deuxième instance du navigateur Tor avec la commande suivante:

sudo -u vpnuser tor-browser --new-instance

Contrairement au navigateur Tor ordinaire, cette instance enverra votre trafic via un serveur VPN après qu’il aura quitté le réseau Tor :

Lancer le nouveau navigateur TorLancement du nouveau navigateur TorNouveau navigateur Tor

Comme indiqué ci-dessus, vous verrez probablement un certain nombre d’avertissements et d’erreurs dans le terminal pendant que cette instance du navigateur Tor est active.

Étape 3: Reconfigurez votre nouvelle instance de navigateur Tor

Avant de pouvoir utiliser votre nouveau Navigateur Tor pour visiter des sites Web qui bloquent l’accès à partir de Tor, vous devrez modifier sa configuration de deux manières :

  1. Désactivez le proxy SOCKS de Tor à l’aide de l’écran de préférences du navigateur Tor
  2. Désactivez la configuration network.proxy.socks_remote_dns à l’aide de la configuration about:configpage

Ces modifications seraient normalement une très mauvaise idée car elles indiquent essentiellement à votre navigateur de ne pas utiliser Tor. Grâce au script vot.sh, cependant, nous avons maintenant une connexion VPN qui passe par Tor. Et cette version du navigateur Tor sera configurée pour l’utiliser.Assurez-vous simplement de modifier l’instance correcte du navigateur Tor!

Suivez les étapes ci-dessous pour modifier ses paramètres de proxy:

PréférencesPréférences généralesPréférences avancéesPréférences réseauParamètres réseauDésactivez le proxy pour cette instance

Puis tapez about:configdans la barre d’URL, recherchez remote_dns et suivez les étapes ci-dessous pour modifier la façon dont il gère les requêtes DNS distantes :

à propos de: avertissement de configurationà propos:écran de configurationRecherchez remote_dnsDéfinissez remote_dns sur false

Vous devriez maintenant pouvoir visiter des sites Web — y compris ceux qui bloquent l’accès depuis Tor — en utilisant les fenêtres et les onglets de votre nouvelle instance de navigateur Tor.

Remarque : Dans ce nouveau navigateur, appuyer sur la touche <Enter> après avoir saisi une URL peut ne pas charger la page comme elle le ferait normalement. Pour charger une URL, appuyez simplement sur le bouton fléché à droite de la barre d’adresse au lieu d’appuyer sur <Enter>. Ne vous inquiétez pas, les liens fonctionnent toujours normalement, tout comme le clic droit * _option pour _ouvrir le lien dans le nouvel onglet *. (Si cela vous aide, considérez cela comme une fonctionnalité de sécurité conçue pour vous empêcher d’utiliser accidentellement le mauvais navigateur.)

Le site Web de Tails via Tor et un VPNLe site Web d'OpenCorporates via Tor et un VPN

Gardez à l’esprit que si vous visitez le site Web de vérification de Tor, cela indiquera que Tor ne fonctionne pas. En effet, votre connexion à cette page ne provient pas directement d’un relais de sortie Tor. De même, si vous visitez un site Web conçu pour vous montrer votre propre adresse IP, il doit afficher l’adresse de votre serveur VPN :

L'adresse IP apparente n'est pas un relais TorL'adresse IP apparente est un VPN

Comme mentionné précédemment, même si le vot.sh script vous empêche d’accéder à votre VPN sans passer au préalable par Tor, cette configuration est toujours moins anonyme que d’utiliser le navigateur Tor normalement. Assurez-vous donc de garder une trace de quelle fenêtre est laquelle, et n’utilisez l’instance Tor-over-VPN que lorsque vous le devez absolument.**

Lorsque vous avez terminé d’accéder à des sites qui bloquent l’accès depuis Tor, vous pouvez tout arrêter en redémarrant Tails ou en :

  1. En quittant la nouvelle instance de navigateur Tor,
  2. En quittant le script vot.sh en appuyant sur <Ctrl-C> dans le terminal où il est en cours d’exécution, et
  3. Attendre que Tor se reconnecte.

Publié pour la première fois le 20 septembre 2017

admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.