Comparer les VPN
Choisir le plus performant
L’essentiel sur la navigation chiffrée Tor et les avis à ce propos
Tor est un réseau similaire à un VPN pour naviguer sur internet en toute sécurité :
Le trafic de l’usager subit un triple chiffrement très difficile à intercepter.
Il est possible de télécharger le navigateur Tor Browser pour davantage de protection.
Le réseau Tor comporte toutefois certaines limites à connaître :
La navigation avec Tor peut être plus difficile, et il existe quelques failles.
L’utilisation parfois illégale de Tor pose quelques problèmes éthiques.
Il existe de nombreuses solutions pour naviguer sur Internet de manière sécurisée. Les VPN sont maintenant une option de plus en plus courante, évidemment ; mais il ne s’agit pas de la seule possibilité. Parmi les protocoles de navigation sécurisée les plus répandus, il en est qui est plutôt ancien et bien implanté, au principe plutôt similaire à un VPN, quoique reposant sur une philosophie différente : le réseau Tor.
Il ne s’agit pas uniquement d’un réseau, mais également de nombreux outils, avec un projet entier derrière. Tor existe publiquement depuis 2002, issu d’un travail collaboratif de plusieurs militants venant de ce que l’on appelle couramment « l’Internet libre », réunis pour l’occasion dans la fondation « The Tor Project« . Le côté collaboratif du projet en question se retrouve néanmoins beaucoup dans la forme de cet outil ; le réseau est géré de manière décentralisée, sur une large partie de volontariat.
Définition et fonctionnement du réseau Tor.
« Tor » est un acronyme signifiant « The Onion Router« , « Le routeur en oignon ». La manière de penser ce réseau a inspiré cet acronyme, utilisé depuis comme un substantif à part entière. Avec Tor, l’internaute a droit à plusieurs couches de protection, superposées à la manière d’un oignon. Ce légume incarne même le logo de ce réseau chiffré.
Comment fonctionne Tor ? À quoi sert ce protocole de communication ? Où est-il possible de télécharger Tor et de naviguer avec ? Est-ce payant ? Est-ce légal ? Quelles sont les controverses autour du réseau Tor ? Voici un guide permettant de mieux s’y retrouver avec Tor et les différents enjeux qui entourent ce réseau ultra-protecteur.
Le réseau Tor, bien qu’ancien, reste encore marginal parmi les internautes. La faute notamment à une vision de cette technologie comme trop difficile d’accès. Pourtant, il n’est pas du tout nécessaire de s’y connaître en informatique pour utiliser Tor ; le problème vient d’autres contraintes qui entourent la navigation avec Tor, à détailler après.
Il convient tout de même de bien connaître le fonctionnement du réseau Tor et du navigateur affrété à ce dernier pour mieux être au fait de son utilisation. Comment fonctionne le réseau Tor ? Voici quelques éléments de réponse.
À l’instar de nombreux VPN, Tor et sa fondation disposent d’un réseau de serveurs dans le monde entier — plus de 7 000, avec 3 000 serveurs « passerelles » en bonus. De la même manière qu’un VPN, ces serveurs Tor constituent un intermédiaire chiffré entre un internaute effectuant une requête, et le site internet auprès duquel la requête arrive. La liste de ces serveurs est publique ; ce qui est essentiel pour le fonctionnement de Tor.
Le « client » (l’internaute concerné) sélectionne donc au moins trois serveurs dans cette liste, de manière aléatoire. Ces serveurs vont former un circuit ordonné entre le client et le site requis ; l’information va transiter du client au site par chacun de ces serveurs, dans un ordre précis. Une fois la liste de ces serveurs (ou « nœuds ») Tor établie par le client, celui-ci chiffre les données envoyées, dans un ordre précis :
les données sont d’abord chiffrées avec une clé spécifique au dernier nœud du circuit ;
ensuite ces données chiffrées subissent une deuxième couche de chiffrement pour l’avant-dernier serveur ;
enfin, un dernier chiffrement s’applique sur le premier nœud Tor concerné.
Par ailleurs, il peut y avoir plus de 3 serveurs dans ce circuit, en fonction du paramétrage de l’internaute notamment — 3 étant un minimum pour la sécurité des informations.
Par la suite, voici comment « peler » la triple couche de chiffrement Tor :
le client envoie ces données au premier serveur, qui les déchiffre avec la clé prévue ;
puis ce serveur les envoie au prochain nœud du circuit Tor, qui les déchiffre à son tour ;
et ainsi de suite, jusqu’au dernier nœud qui peut alors faire transiter les données en clair vers le site auquel s’effectue la requête initiale.
Le même procédé a ensuite lieu lorsque le site en question renvoie des données vers l’utilisateur.
Le réseau Tor repose en grande partie sur un système de chiffrement asymétrique. Très sécurisé, ce protocole signifie qu’une instance capable de chiffrer des données n’est pas forcément capable de les déchiffrer : il existe pour chaque chiffrement un couple de clés (une clé publique pour le chiffrement, et une clé privée pour le déchiffrement). Réitéré plusieurs fois, ce processus assure qu’à aucun moment dans l’échange de données, quelqu’un qui intercepterait ces échanges ne soit en mesure de les lire en clair.
Un chiffrement qui peut se faire de manière automatique
Tous ces procédés peuvent paraître fastidieux : sélectionner soi-même des serveurs dans une liste publique, puis devoir chiffrer trois fois ses données avant de les envoyer — et ce, pour la moindre requête sur internet avec Tor. Heureusement, ce protocole peut se faire de manière automatique, avec des applications dédiées, comme un navigateur Tor Browser (cf. plus bas). À la manière d’un VPN, un internaute n’a donc pas forcément besoin de s’y connaître en informatique, ou même de connaître ce principe de chiffrement, pour utiliser Tor.
L’intérêt de Tor est donc multiple pour naviguer en toute sécurité. Les données n’apparaissent jamais « en clair », sauf à la fin du transit ; Tor permet donc d’éviter l’analyse de trafic, que cela soit de la part du fournisseur d’accès à Internet ou d’une agence gouvernementale. En observant le trafic d’un serveur sur le circuit de navigation, il n’est pas possible de savoir quels sont les sites visités par exemple.
Par ailleurs, il n’est pas non plus possible en observant le trafic d’en connaître l’origine ou la destination. Les adresses IP utilisées sont celles des nœuds Tor ; pour le site sur lequel l’internaute veut naviguer, les requêtes viennent donc du dernier relais Tor, sur le même principe qu’un VPN. Les serveurs Tor eux-mêmes ne peuvent rien savoir de plus que l’adresse IP précédente et la suivante.
Tor conseille en outre de changer régulièrement, au cours d’une session de navigation, les nœuds utilisés. De cette manière, le trafic change, ce qui permet également de changer les adresses IP utilisées. Cela minimise encore les risques d’interception des données que comporterait par exemple une navigation trop longue.
Le réseau Tor peut s’utiliser avec n’importe quel matériel connecté. Toutefois, pour faciliter grandement la navigation, Tor Project a également développé un navigateur spécifique pour ce réseau, « Tor Browser ». Celui-ci est un fork (dérivé) du navigateur Firefox, et l’interface de Tor Browser ressemble donc grandement à ce dernier. Ce logiciel possède des fonctions de connexion automatique au réseau Tor ; ainsi que des programmes de chiffrement permettant d’échanger avec les nœuds du réseau de manière invisible.
Les programmes proposés par Tor.
De plus, Tor Browser inclut d’autres programmes — pas forcément liés à ce réseau — permettant de protéger davantage son trafic internet. Le chiffrement des données ne protège pas en effet à 100% face aux risques de surveillance ou de piratage ; il existe bien des manières de tracer la navigation d’un internaute. Voici quelques exemples de programmes supplémentaires inclus dans Tor Browser :
l’absence de tout historique de navigation ;
une extension NoScript permettant entre autres de désactiver JavaScript par défaut, ce programme comportant des fonctions de tracking ;
une extension « HTTPS Everywhere », pour activer par défaut la navigation en https sur les sites qui incluent cette fonction (pour un chiffrement supplémentaire) ;
le moteur de recherche DuckDuckGo par défaut, très réputé pour respecter la vie privée de ses usagers.
Utiliser Tor Browser garantit donc à la fois une forte discrétion et une relative simplicité d’utilisation. Cela permet ainsi, par exemple, de se passer des services d’un VPN, ou d’un proxy intermédiaire. Bon à savoir : bien que pas forcément téléchargeable sur toutes les plateformes, Tor Browser est un service complètement libre (avec un code source public) et gratuit.
Pour un internaute pas forcément à l’aise avec la navigation, comme pour un informaticien endurci, il est très recommandé d’utiliser Tor Browser pour bénéficier de ce réseau. Il s’agit d’une solution largement adoptée pour surfer dans une discrétion absolue. Il est aussi possible de personnaliser encore plus ce navigateur avec d’autres outils de protection de ses données ; comme une adresse mail avec une clé PGP publique pour chiffrer davantage ses communications.
Comme dit précédemment, l’accès à un serveur Tor est possible avec n’importe quel objet connecté. La question qui peut intéresser davantage d’internautes est celle de télécharger le navigateur Tor Browser, d’une part ; mais aussi de couvrir l’ensemble de ses applications connectées au réseau, avec l’implémentation d’une connexion automatique à Tor pour chacune de ses applis — un peu comme le ferait un VPN.
Le navigateur Tor Browser est disponible en téléchargement via le site web du projet en question, pour plusieurs plateformes majeures, bien que ce ne soit pas le cas de toutes :
sur le système d’exploitation Windows, toujours le plus utilisé dans le monde côté ordinateurs ;
pour Mac OS et Mac OS X, les systèmes d’exploitation pour ordinateur supportées par Apple ;
avec les différents OS tournant grâce au noyau GNU/Linux ;
Tor Browser est aussi téléchargeable depuis septembre 2019 dans le catalogue Google Play servant notamment à doter les smartphones avec le système d’exploitation Android par Google ;
en revanche, il n’est toujours pas possible d’en bénéficier sur iOS, l’interface spécifique aux iPhone d’Apple.
Pour iOS comme pour les autres systèmes d’exploitation, des solutions alternatives existent. Par exemple, le navigateur OnionBrowser, non officiel mais approuvé par Tor, est disponible sur iOS et permet de naviguer de manière sécurisée sur le web. De même, au lieu de Tor Browser, il est possible de télécharger certaines applications comme OrBot, OrFox ou F-Droid, disponibles sur la plupart de ces plateformes : ce genre d’applications tiennent lieu de proxy pour l’ensemble de ses applications connectées à Internet, et pas uniquement pour la navigation classique.
À la lumière de ces informations, il peut venir à l’esprit le fait que Tor propose des services en fin de compte plutôt similaires à ceux d’un VPN. Il est même possible de considérer le réseau Tor comme un VPN à part entière ; avec bien sûr, des spécificités, comme le triple chiffrement des données. Ces deux possibilités semblent répondre aux mêmes besoins de sécurité informatique et d’anonymat sur le Web. Mais l’un et l’autre de ces outils possèdent chacun leurs propres spécificités, avantages et inconvénients.
Le réseau Tor a ainsi l’avantage d’être complètement gratuit, à l’inverse de la grande majorité des VPN. Ses fonctions de sécurité sont également plus approfondies, comme cela a été évoqué. Toutefois, Tor reste un outil « de niche » qui n’aura pas forcément d’utilité pour la majorité des internautes. Là où les VPN permettent avant tout d’esquiver la surveillance institutionnelle du côté d’un usage multimédia par exemple, Tor protège au contraire l’intégralité du trafic d’un usager, à un coût peut-être élevé.
Si le réseau Tor est gratuit, il comporte quelques inconvénients qui peuvent en décourager plus d’un. À l’inverse d’un VPN qui assure la plupart du temps une fluidité de navigation, Tor ralentit notamment l’usage internet. Ainsi, regarder des vidéos internet avec Tor est souvent difficile. De même, les meilleurs VPN intègrent parfois des fonctions supplémentaires ; bien plus pratiques pour l’usager internet. C’est par exemple le cas de la fonction « kill-switch« , non supportée par Tor.
Est-il possible et recommandé de coupler Tor avec un VPN ?
Tor et VPN en même temps ? Le couplage de ces deux sécurités reste en effet possible. Si cela peut sembler être un doublon inutile, il y a cependant quelques situations qui peuvent rendre un VPN essentiel dans l’utilisation de Tor. Par exemple, le FAI, le site visité ou des agences gouvernementales peuvent voir si un internaute utilise Tor et chiffre ses données — quand bien même le contenu des échanges n’est pas accessible.
Utiliser un VPN en surcouche peut donc éviter des soupçons d’usage illégal de Tor. Certains sites bloquent également l’usage de Tor ; un usage VPN peut remédier à cela. Ainsi, il existe des fournisseurs VPN qui proposent en téléchargement une fonction « Onion Over VPN« pour utiliser automatiquement le réseau Tor en navigation, en plus de son réseau privé virtuel.
Tor est au centre de polémiques depuis son apparition et au-delà. Il s’agit d’une des solutions les plus connues — ce qui le dessert un peu — pour naviguer dans l’anonymat et la totale absence d’immixtion de la part de n’importe quelle instance, notamment gouvernementale. L’intérêt de Tor est donc indéniable, mais c’est un outil à ne pas prendre à la légère.
Un internaute doit partir du principe que n’importe quelle activité sur internet, même la plus anodine qui soit, laisse des traces un peu partout. Il n’est donc pas absurde de chercher à juguler ces traces ; et c’est l’intérêt du réseau Tor.
Tor donne la possibilité de sécuriser sa navigation sur Internet.
Concrètement, il est très facile d’établir un lien entre un internaute — avec son adresse IP notamment — et les services internet sur lesquels il se rend. IP, historique de navigation, cookies ; tout est facilement traçable. Cela implique notamment que l’internaute n’est jamais réellement maître de sa navigation. En disposant de suffisamment d’informations ou de connaissances, il est possible à tout instant pour un hacker ou une administration de savoir précisément tout ce que fait un usager sur un appareil connecté, où et quand : le web est un espace chaque jour plus dangereux, en dépit des efforts des acteurs numériques contemporains.
Télécharger une instance de connexion avec Tor, au contraire, permet de minimiser l’impact de ces traces. La navigation Tor cache l’historique de connexion aux sites visités par l’internaute, ainsi que le contenu des échanges entre les sites et l’usager ; le triple chiffrement par Tor permet de rester quasi entièrement anonyme, voire invisible, sur Internet. De l’avis général, Tor permet de ne pas perdre la main sur son activité en ligne. Cela permet de ne pas dépendre de la simple bonne volonté d’un fournisseur d’accès ou de certains géants du web pour utiliser la totalité des services possibles sur internet. Tor répond en réalité à une vision idéologique loin d’être anodine sur le respect à la vie privée — dont on peut dire qu’il est souvent mis à mal aussi bien par les États que par les GAFAM.
Bien que Tor puise son origine profonde dans un usage militaire au sein de l’armée des États-Unis, cette technique de navigation s’est depuis largement construite et répandue en opposition à toutes les tentatives d’ingérence — principalement de la part des États — dans l’utilisation du Net. Tor est ainsi « le réseau des opposants » pour les internautes jugeant que leur activité a tout à gagner en restant cachée de l’État. Sa réputation n’est plus à faire depuis des affaires d’envergure internationale, comme les révélations d’Edward Snowden en 2013 ; le lanceur d’alerte ayant depuis reconnu plusieurs fois utiliser Tor pour échapper à la surveillance.
Toutefois, le réseau Tor sert également des desseins un peu plus sombres que ceux de simples opposants politiques. Il s’agit en réalité de la principale porte d’entrée vers ce que l’on appelle « le darkweb ». Ce versant caché d’Internet est inaccessible depuis des moteurs de recherche classiques comme Google. Beaucoup des sites du darknet se composent d’ailleurs d’une extension en .onion, référence à Tor ; et ne sont pas accessibles autrement qu’en naviguant avec ce réseau chiffré.
Le réseau Tor est soumis à de nombreuses critiques quant à son usage.
Or, le « deep web » a mauvaise presse, puisque de nombreuses activités illégales et immorales peuvent passer par là. Il peut s’agir de vente d’armes, de drogues, de trafic d’organes, de prostitution, de pédopornographie, ou encore de terrorisme ; contourner la surveillance de masse et l’analyse de trafic peut aussi intéresser ces secteurs. De fait, la légitimité de Tor est souvent mise à mal. De nombreuses critiques s’élèvent régulièrement contre ce réseau qui permettrait indirectement de soutenir ces activités illicites.
« Le fait de ne pas se préoccuper du droit à la vie privée parce que l’on croit n’avoir rien à cacher revient à ne pas se préoccuper de la liberté d’expression parce que l’on pense n’avoir rien à dire. »
Edward Snowden
Le point de vue des utilisateurs de Tor Project est pourtant simple à ce sujet : tout le monde a le droit de pouvoir bénéficier d’une intimité absolue, y compris sur Internet. À leurs yeux, les utilisations abusives du réseau Tor ne délégitiment pas cette technologie ; ou alors, autant condamner Internet en général pour tout ce que permet le Web. Les bénéfices d’anonymat et de protection de la vie privée que permet Tor seraient ainsi bien plus importants que les effets néfastes de ce protocole de communication. Il s’agit d’un vaste débat, plus houleux encore que concernant les services VPN. En tout cas, de nombreux pays réfléchissent à des restrictions ou des interdictions de la navigation avec Tor — y compris dans les démocraties occidentales.
Tor : un service illégal dans plusieurs pays du monde
En principe, la navigation Tor n’est pas interdite par la loi. C’est le cas dans toute la France et dans la majorité des États du monde. Cependant, plusieurs d’entre eux ont fait le choix d’interdire l’accès à Internet via le réseau Tor — les mêmes pays, en général, qui établissent une liste limitative de VPN autorisés et restreignent les autres. C’est le cas notamment de la Chine, très efficace pour limiter le trafic internet non approuvé.
D’autres pays comme l’Iran, la Biélorussie ou la Turquie interdisent également au maximum les VPN et Tor. Tous ces États ont en commun d’être des régimes autoritaires. Leur restriction de Tor, et des services permettant une navigation internet libre, procède donc surtout d’une volonté d’étouffer l’opposition.
Tor n’est pas une solution universelle pour naviguer confortablement sur Internet en sécurité. Le protocole Tor a quelques faiblesses qui peuvent s’avérer très pénalisantes pour un usage « lambda » du Net. Ainsi, s’il est nécessaire de tester Tor pour se faire un avis, ce réseau ne conviendra sûrement pas à tous les usages, aussi bien à cause de ses imperfections en sécurité numérique que pour son utilisation difficile.
Le fait est que le téléchargement du réseau Tor ne garantit pas une sécurité absolue sur Internet. Il existe quelques points faibles chez Tor, auxquels un internaute doit être attentif. Voici quelques-unes des limites de ce réseau à bien connaître, et sur lesquelles Tor s’emploie à travailler.
Les données échangées entre le dernier nœud Tor et le serveur du site visité transitent « en clair ». Une interception de ces données à cet endroit peut donc compromettre l’anonymat de l’usager. C’est donc surtout à cet endroit qu’un trafic HTTPS est indispensable, pour éviter la compromission de certaines données.
Une surveillance de masse peut venir à bout de Tor. Analyser l’activité de certains nœuds et de certains sites en même temps que celle d’un usager Tor s’avère suffisant pour effectuer un recoupement et s’apercevoir qu’un internaute précis se connecte à tel ou tel site avec Tor.
L’utilisation de Tor peut rendre un usager internet suspect. Il faut bien garder en tête que le fournisseur d’accès à Intenert peut savoir que l’internaute utilise Tor, même s’il ne connaît pas l’historique de navigation. Cela peut entraîner une surveillance accrue et non voulue. Le dilemme reste le même qu’un particulier qui mettrait un masque dans un lieu public pour ne pas être reconnu : personne ne pourrait le reconnaître, mais tout le monde pourrait voir que cette personne porte un masque et désire ne pas être vue.
Le réseau Tor étant participatif, tout le monde peut mettre à disposition un serveur comme nœud. De fait, le trafic passe entre les mains de parfaits inconnus. Cela peut s’avérer risqué, et même peut-être augmenter le risque de fuite de ses données en cas de malveillance. Le risque est d’autant plus fort pour les nœuds de sortie, où les données transitent en clair.
Enfin, le navigateur Tor ne se suffit pas à lui-même. Bien qu’il comporte des fonctions supplémentaires en sécurité internet, cela ne protège que le trafic web. Pour protéger ses autres applications internet, il faut prévoir d’autres protocoles de connexion, comme un proxy affilié à Tor.
Le réseau Tor comporte quelques inconvénients en navigation courante. Ainsi, il est possible que le site visité s’affiche dans une langue différente de celle de l’internaute ; car la localisation du dernier relais Tor, souvent à l’étranger, a une influence sur la manière dont se présente le site en question. Celui-ci affiche des paramètres de navigation en fonction de cette localisation.
De même, la navigation est bien plus lente avec Tor (cf. comparatif avec l’usage d’un VPN). Le triple protocole de chiffrement peut entraîner une certaine latence, qui se ressent lors du chargement de certaines pages. Le chemin plus long emprunté par le trafic internet peut donc pénaliser les usages gourmands en données ; comme pour regarder des vidéos en HD par exemple, même si cela tend à s’améliorer.
L’utilisation de Tor peut engendrer des problèmes de débit.
Tor repose aussi sur le chiffrement du protocole internet TCP ; mais il ne s’agit pas du seul protocole de navigation sur la toile. Ainsi, certains usages internet comme du torrenting ne sont pas possibles avec une couverture Tor. Le torrent utilise en effet le protocole UDP pour échanger des données en peer-to-peer (ou P2P). Pour protéger leurs téléchargements, les internautes peuvent par contre se pencher de plus près sur les VPN optimisés pour le torrenting.
Enfin, de nombreux sites conscients de la réputation sulfureuse du réseau Tor décident d’en bloquer l’accès. Cela leur est facile, puisque la liste des nœuds de sortie de ce réseau est publique. Sur Wikipédia notamment, il n’est pas possible d’effectuer des modifications d’une page en étant connecté avec Tor. Les nécessités du site font que ce dernier tient à avoir à disposition les adresses IP réelles des éditeurs — y compris lorsque ceux-ci effectuent des modifications avec leur propre compte et non pas de manière anonyme. D’autres sites, détectant un trafic avec Tor, peuvent décider d’imposer une couche de sécurité supplémentaire ; en obligeant par exemple de passer par des captchas pour utiliser leurs services. La plupart de ces sites ne préciseront pas qu’il s’agit d’un blocage spécifique à Tor, et afficheront alors des fenêtres d’erreur 404 tout à fait classiques.
Le réseau Tor dispose désormais, en plus de sa liste publique de nœuds, un certain nombre de serveurs dits « passerelles », souvent utilisés en nœuds de sortie. Ces serveurs ne sont pas réellement affiliés à Tor, et ne sont pas connus publiquement. Il est possible avec un serveur « passerelle » de contourner les restrictions mises en place par certains sites envers Tor.
Cet article vous a-t-il été utile ?
91% des lecteurs ont trouvé cet article utile
Les bons plans du moment
Les principaux avantages proposés par un VPN
