FAQ sur l'utilisation abusive
Tor permet-il aux criminels d'accomplir leurs forfaits ?
Les criminels peuvent déjà accomplir leurs mauvaises actions. Déterminés à briser les lois, ils disposent déjà de nombreuses options qui peuvent leur procurer un meilleur anonymat que ne le peut Tor. Ils peuvent voler des téléphones portables, les utiliser, puis les jeter dans un caniveau ; ils peuvent pirater des ordinateurs en Corée ou au Brésil et les utiliser pour lancer leurs attaques.Ils peuvent utiliser des logiciels espions, des virus, et d'autres techniques, pour prendre le contrôle, au sens propre, de millions de machines Windows dans le monde.
Tor a pour vocation d'apporter la sécurité des communications Internet à des gens ordinaires respectueux des lois. Pour le moment, seuls les criminels bénéficient de confidentialité, et nous devons corriger cela.
Certains qui militent en faveur de la confidentialité expliquent qu'il s'agit juste d'une question d'échange - accepter les mauvais usages pour pouvoir avoir les bons -, mais il y a plus que cela. Les criminels et autres personnes mal intentionnées possèdent la motivation d'apprendre à obtenir un bon anonymat, et beaucoup sont prêts à payer cher pour l'obtenir. Être en mesure de voler l'identité d'innocentes victimes (usurpation d'identité) et de la réutiliser leur rend la tâche encore plus facile. D'un autre côté, les gens ordinaires n'ont ni le temps, ni l'argent, d'investir dans l'étude de comment obtenir la sécurité de leurs communications sur Internet. C'est le plus mauvais des mondes possibles.
Donc, oui, en théorie, les criminels pourraient utiliser Tor, mais ils ont déjà de meilleures solutions. Et il semble improbable qu'éliminer Tor de la surface du monde les arrêteraient dans leurs entreprises criminelles. En même temps, Tor, et d'autres mesures de protection des données privées, peuvent combattre l'usurpation d'identité, la traque physique des personnes, etc.
Qu'en est-il des attaques par déni de service distribué ?
Les attaques par déni de service distribué (ou déni de service réparti, en anglais : DDoS - Distributed Denial of Service) supposent, globalement, de disposer d'un groupe de milliers d'ordinateurs lançant des requêtes vers une machine victime de façon simultanée. Le but étant de saturer la bande passante de la machine visée, ces ordinateurs envoient généralement des paquets UDP, car ceux-ci ne nécessitent ni procédures d'authentification, ni coordination.
Mais, Tor ne transportant que des flux TCP correctement configurés, et non des paquets IP, on ne peut pas utiliser Tor pour envoyer des paquets UDP. De même, Tor n'autorise pas les attaques par amplification de bande passante : vous devez envoyer un octet pour chaque octet que Tor enverra vers la destination que vous avez choisie. Donc, d'une façon générale, des attaquants qui disposeraient d'une bande passante suffisante pour une attaque DDoS efficace peuvent le faire tout aussi bien sans l'aide de Tor.
Et les spammeurs ?
Premier point, les règles par défaut pour les nœuds de sortie de Tor rejettent tout trafic sortant du port 25 (SMTP) : envoyer du spam via Tor, par défaut, ne va donc pas fonctionner,. Il est possible que certains opérateurs de relais ouvrent le port 25 sur leur serveur, ce qui autoriserait l'envoi de mails. Mais ces opérateurs peuvent tout aussi bien installer un serveur relais de mail ouvert, complètement indépendant de Tor. En résumé, Tor n'est pas très utile au spammeur, parce que presque tous les serveurs Tor refusent d'acheminer les mails sortants.
Bien sûr, il y a plus que l'acheminement des mails. Les spammeurs peuvent utiliser Tor pour se connecter à des proxys HTTP ouverts (et de là, à des serveurs SMTP) ; pour se connecter à de mauvais scripts CGI envoyant des mails, et pour contrôler leur robots - et ainsi, communiquer, de façon déguisée, avec des armées de machines compromises qui enverront le spam.
C'est désolant, mais il faut noter que les spammeurs font déjà ceci très bien, sans Tor. Surtout, souvenez-vous que nombre de leurs méthodes d'attaque les plus subtiles (comme l'envoi de paquets UDP contrefaits) ne peuvent pas être utilisées sur Tor, parce qu'il ne transporte que des paquets TCP correctement formés.
Quelle est la stratégie pour les relais de sortie de Tor ?
Chaque relais qui choisit d'être nœud de sortie choisit sa propre stratégie définissant quelles sont les connexions sortantes autorisées ou refusées par lui. Les stratégies de sortie sont répercutées à l'utilisateur client par le biais du répertoire. De cette façon, les clients éviteront par exemple de choisir des nœuds de sortie qui refuseraient la sortie vers la destination qu'ils auraient choisie.
Ainsi, chaque relais peut décider des connexions des services, hôtes, et réseaux qu'il autorise, sur la base des utilisations abusives et de sa situation particulière.
Y a-t-il beaucoup d'utilisations abusives de Tor ?
Pas beaucoup, tout bien considéré. Nous avons mis en place et maintenu le réseau depuis octobre 2003, et il n'y a eu qu'une poignée de plaintes. Bien entendu, comme tous les réseaux orientés vers la confidentialité des communications sur Internet, nous attirons notre lot de malades. Les stratégies de sortie pratiquées par Tor aident à bien différencier le rôle de "voulant contribuer au réseau par des ressources" de celui de "voulant avoir à gérer les plaintes pour utilisations abusives"; nous espérons ainsi faire de Tor un réseau plus durable que les essais précédents de réseaux anonymes.
Étant donné que Tor a également un nombre important d'utilisateurs légitimes, nous pensons réussir plutôt bien à maintenir l'équilibre pour l'instant.
Si je mets en place un relais, à quoi dois-je m'attendre ?
Si le relais Tor que vous mettez en place autorise les sorties de connexions (et ce, avec les stratégies de sortie par défaut), il est probable de dire que vous finirez par entendre parler de quelqu'un. Les plaintes pour utilisation abusive présentent des formes variées. Par exemple :
- Quelqu'un se connecte à Hotmail, et envoie à une entreprise une demande de rançon. Le FBI vous envoie un courriel poli, vous expliquez que vous faites tourner un relais Tor, ils disent "Ah, bien..." et vous laissent tranquille. [Port 80]
- Quelqu'un essaie de faire fermer votre relais en utilisant Tor pour se connecter aux newsgroups Google et envoyer du spam sur Usenet, et ensuite cette personne envoie un mail courroucé à votre FAI, pour dire que vous détruisez le monde. [Port 80]
- Quelqu'un se connecte à un réseau IRC (Internet Relay Chat) et se comporte de façon malfaisante. Votre FAI reçoit un mail poli disant que votre ordinateur a été compromis, et/ou votre ordinateur subit une attaque DDoS. [Port 6667]
- Quelqu'un utilise Tor pour télécharger un film de Vin Diesel, et votre FAI reçoit une plainte des autorités chargées de faire respecter les droits s'appliquant sur le matériel téléchargé. Voir avec EFF les réponses à apporter à votre fournisseur d'accès. [Ports divers]
Vous pourriez aussi vous apercevoir que l'accès à certains sites Internet ou services est bloqué pour l'adresse IP de votre serveur. Ceci pourrait arriver quelle que soit la stratégie de sortie de votre relais, parce que certains groupes ne semblent pas savoir que Tor a des stratégies de sortie, ou ne pas s'en soucier. (Si vous avez une IP de réserve qui n'est pas utilisée pour d'autres activités, vous pouvez envisager de faire tourner votre serveur avec cette IP). Par exemple,
- À cause de quelques cas d'idiots s'amusant à vandaliser ses pages, Wikipédia bloque pour l'instant la fonction "écriture" pour beaucoup de relais Tor (la lecture des pages marche toujours). Nous discutons actuellement avec Wikipédia du comment ils pourraient limiter les utilisations malveillantes tout en maintenant les fonctionnalités d'écriture pour les contributeurs anonymes qui ont souvent des scoops ou des informations de première main sur un sujet, mais ne souhaitent pas révéler leur identité en les publiant (ou ne souhaitent pas révéler à un observateur local qu'ils utilisent Wikipédia). Slashdot est dans le même cas de figure.
- SORBS, lui, a mis les IP de quelques relais Tor sur sa liste noire d'adresses email. Ils ont fait cela après avoir détecté, en mode passif, que votre relais se connectait à certains réseaux IRC, et ils en ont conclu que votre relais était susceptible de spammer. Nous avons essayé de travailler avec eux et de leur expliquer que tous les logiciels ne fonctionnaient pas de cette façon, mais nous avons renoncé. Nous vous recommandons d'éviter SORBS, et d'apprendre à vos amis (s'ils l'utilisent) comment éviter d'être sur les listes noires.
Tor est banni du serveur IRC que je veux utiliser
Il arrive que des idiots se servent de Tor pour "troller" dans des canaux IRC. Cette utilisation malveillante peut résulter dans le bannissement temporaire d'une IP (dans le jargon IRC, "kline") que l'opérateur du réseau IRC met en place pour empêcher le troll d'accéder au réseau.
Ce type de réponse met en évidence une faiblesse essentielle du modèle de sécurité d'IRC : les opérateurs de réseau IRC supposent que une adresse IP égale un humain, et qu'en bannissant l'adresse IP, ils banniront en même temps l'individu. En réalité, ce n'est pas ainsi que cela fonctionne - beaucoup de ces trolls prennent soin, généralement, d'utiliser les millions de proxys ouverts existants et les ordinateurs dont la sécurité est compromise. Les réseaux IRC ont engagé une bataille perdue d'avance à essayer de bloquer tous ces nœuds, et toute une industrie d'anti-trolls et dresseurs de listes noires a émergé, basée sur cette faille du modèle de sécurité (un peu comme l'industrie de l'anti-virus). Tor, ici, n'est qu'une goutte d'eau dans la mer.
D'un autre côté, du point de vue des opérateurs de réseau IRC, la sécurité n'est pas un "tout ou rien". La rapidité de leur réponse aux trolls ou aux autres attaques de ce type peut rendre le scénario d'attaque moins intéressant pour le troll. Notons que, sur un réseau donné, à un instant donné, une adresse IP particulière correspondra bien à un seul individu. Parmi les exceptions, on trouve en particulier les passerelles NAT, auxquelles l'accès peut être autorisé. Vouloir stopper l'utilisation de proxys ouverts est une bataille perdue d'avance, mais ce n'en est pas une de bannir (kline) une adresse IP de façon répétée, jusqu'à ce que l'utilisateur au comportement abusif se lasse et s'en aille voir ailleurs.
Mais la bonne réponse serait d'implémenter des applications d'authentification, de laisser l'accès au réseau aux utilisateurs qui se comportent correctement et d'empêcher les malveillants d'entrer. Ceci doit se faire sur la base de quelque chose que l'humain connaît (comme un mot de passe, par exemple), et non sur la base de la façon dont ses paquets de données sont transportés.
Bien entendu, les réseaux IRC n'essayent pas tous de bannir les nœuds Tor. Après tout, pas mal de gens utilisent Tor pour avoir, via IRC, des discussions confidentielles sans qu'on puisse faire le lien entre leur identité dans les canaux IRC et leur vraie identité. Il appartient à chaque réseau IRC de décider s'il veut, en bloquant l'accès des IP utilisant Tor - une poignée par rapport aux millions d'IP que les personnes malveillantes peuvent utiliser - bloquer aussi les contributions des utilisateurs de Tor qui se comportent correctement.
Si l'accès à un réseau IRC est bloqué pour vous, ayez une discussion avec les opérateurs du réseau, et expliquez-leur les enjeux. Ils peuvent très bien ne pas connaître du tout l'existence de Tor, ou bien ne pas savoir que les noms d'hôte qu'ils bannissent sont des nœuds de sortie Tor. Si vous expliquez le problème, et qu'ils concluent que Tor doit être bloqué, alors vous pouvez peut-être envisager d'aller sur un réseau plus soucieux de la liberté d'expression. Les inviter sur le canal #tor sur irc.oftc.net peut aussi leur montrer que nous ne sommes pas tous des "méchants".
Enfin, si vous avez connaissance d'un réseau IRC qui semble interdire à Tor son accès, ou qui bloque un nœud de sortie Tor, merci de faire figurer cette information dans la liste des réseaux IRC bloquant Tor afin d'en informer les autres. Un réseau IRC, au moins, consulte cette page pour débloquer les nœuds Tor qui ont été bannis par inadvertance.
Les nœuds de sortie Tor sont bannis du serveur de mail que je veux utiliser
Même si Tor n'est pas utile pour faire du spam, certains black-listeurs zélés semblent penser que tous les réseaux ouverts comme Tor sont le mal - ils donnent à leurs administrateurs réseau les moyens d'une opération coup-de-poing sur les problèmes de stratégie de réseau, de service, et de routage, puis ils demandent des rançons aux victimes.
Au cas où les administrateurs de votre serveur mail décideraient de refuser le courrier entrant sur la base de ces listes noires, vous devriez discuter de Tor avec eux, et leur expliquer son fonctionnement et ses stratégies de sortie.
Je veux bannir le réseau Tor de mon service Internet
Nous sommes désolés de l'apprendre. Il y a quelques cas qui justifient de bloquer l'accès d'un service Internet à des utilisateurs anonymes. Mais, dans la plupart des cas, il existe des solutions plus simples pour résoudre votre problème tout en continuant à laisser les utilisateurs accéder au service de façon sûre.
D'abord, demandez-vous si vous ne pourriez pas différencier les utilisateurs légitimes des utilisateurs malveillants par des mesures prises au niveau logiciel. Par exemple, vous pourriez n'autoriser l'accès à certaines parties du site, ou à certains privilèges comme la fonction de "post", qu'aux utilisateurs enregistrés. Il est facile de maintenir une liste à jour des adresses IP Tor qui auraient accès au service, vous pourriez mettre ceci en place pour les utilisateurs de Tor. De cette façon, vous auriez des accès multi-critères, et n'auriez pas à interdire l'accès à la totalité de votre service.
À titre d'exemple, le réseau IRC Freenode a connu un problème avec un groupe organisé d'utilisateurs malveillants qui joignaient des canaux de discussion et en prenaient subtilement le contrôle. Lorsque Freenode a étiqueté "utilisateur anonyme" tous les utilisateurs des relais Tor, empêchant ceux qui commettaient les abus de s'immiscer dans les canaux, ceux-ci se sont remis à utiliser leurs proxys ouverts et leurs bots.
En second lieu, pensez que des dizaines de milliers de gens utilisent quotidiennement Tor simplement comme une mesure de bonne hygiène dans leur navigation normale sur Internet - par exemple, pour se protéger contre les sites publicitaires qui collectent des données. D'autres se serviront de Tor parce que c'est la seule façon pour eux de sortir de pare-feu locaux restrictifs. Certains utilisateurs de Tor sont sans doute, en ce moment même, connectés à votre service, et y ont des activités tout-à-fait banales. Vous devez décider si interdire l'accès à Tor vaut la peine de perdre la contribution de ces utilisateurs, ainsi que des éventuels futurs utilisateurs légitimes de votre service. Souvent, les gens n'ont même pas idée du nombre d'utilisateurs polis de Tor qui sont connectés à leur service - ils passent inaperçus jusqu'à ce qu'un impoli se manifeste.
À ce niveau, demandez-vous également quelle doit être votre politique pour les autres services qui groupent un grand nombre d'utilisateurs derrière quelques adresses IP. Tor, de ce point de vue, n'est pas très différent d'AOL.
En dernier lieu, souvenez-vous que les nœuds Tor fonctionnent avec des stratégies de sortie individuelles. Beaucoup de relais Tor n'autorisent aucune sortie de connexion. Parmi ceux qui effectivement autorisent des sorties de connexion, beaucoup peuvent déjà ne pas autoriser l'accès à votre service. Lorsque vous procédez au bannissement des nœuds, vous devriez sélectionner selon les stratégies de sortie et ne bannir que ceux qui autorisent ces connexions. Et souvenez-vous que les stratégies de sortie peuvent changer (ainsi que plus globalement, la liste des nœuds sur le réseau).
Si vraiment bannir les nœuds est ce que vous souhaitez, nous pouvons fournir un script en Python pour extraire le répertoire Tor. Notez que ce script ne vous donnera pas une liste absolument parfaite des adresses IP qui se connecteraient à votre service via Tor, car certains relais Tor peuvent sortir en utilisant une adresse IP différente de celle qu'ils publient. Pour une approche plus poussée (avec probablement une interface plus facile pour vous), consultez le service TorDNSEL.
J'ai une raison impérieuse de retrouver la trace d'un utilisateur de Tor. Pouvez-vous m'y aider ?
Les développeurs de Tor ne peuvent rien pour retrouver la trace des utilisateurs de Tor. Les mêmes protections qui empêchent les méchants de violer l'anonymat apporté par Tor nous empêchent, nous aussi, de voir ce qui se passe.
Certains fans ont suggéré que nous révisions la conception de Tor en y incluant une porte dérobée (backdoor). Nous avons deux problèmes avec cette idée. Premièrement, cela affaiblirait bien trop le système. Avoir une façon centralisée de lier les utilisateurs à leurs activités serait la porte ouverte à toutes sortes d'attaques, et les méthodes nécessaires à la bonne gestion de cette responsabilité sont énormes et pour l'instant irrésolues. En second lieu, en aucune façon les criminels ne se feraient prendre par cette méthode, puisqu'ils utiliseraient d'autres moyens pour se rendre anonymes (usurpation d'identité, effraction dans des ordinateurs utilisés ensuite comme rebonds, etc.)
Ceci ne signifie pas que Tor est invulnérable. Les méthodes traditionnelles de police sont toujours efficaces contre Tor, comme l'audition des suspects, la surveillance et le monitoring de claviers, la rédaction d'analyses stylistiques, les opérations sous couverture, et autres méthodes classiques d'investigation.
J'ai des questions juridiques au sujet de l'utilisation malveillante
Nous ne sommes que les développeurs. Nous pouvons répondre aux questions d'ordre technique, mais nous ne sommes pas en mesure de répondre aux problèmes et aspects légaux.
Veuillez consulter la page des FAQ juridiques et contacter EFF directement si vous avez d'autres questions d'ordre juridique.