Le TorBrowser Bundle est un bundle
J'ai reçu un mail qui me disait la chose suivante : Perso, ce que je n'aime pas dans le tor browser c'est le fait que ce soit un simple Bundle justement. Si c'était un éxécutable présent dans mes dépots, je serai, je pense, plus enclin à le télécharger. À la place, j'utilise Iceweasel avec privoxy qui opère une redirection vers TOR. Le tout agrémenté d'un certains nombre d'extensions : HTTPS Everywhere, Request Policy, No Script, Disconnect, Adblock Edge, etc... J'aimerais cependant savoir si c'est suffisant ou si mon anonymité est tout de même compromise... (parce que c'est un truc qui me titille depuis un moment... )
Comme la réponse me semble être intéressante à partager, je la rédige donc dans ce billet.
Personnellement, je déconseillerai de procédé ainsi. Tout simple parce que :
le torbrowser est patché par l'équipe de Tor. Ce n'est pas un simple Firefox, c'est le code source de Firefox sur lequel l'équipe de Tor a travaillé. Et j'ai assez confiance dans leur compétence en sécurité.
le torbrowser contient comme extension NoScript. Elle suffit pour bloquer les publicités, les trackers etc. vu que ça bloque le Javacript par défaut (et qu'on l'active au cas par cas). Il contient aussi HTTPS Everywhere. A voir si des règles spécifiques sont ajoutées ou non.
l'ajout d'autres extensions peut potentiellement ajouter des failles potentielles... On évitera.
La méthode d'ajouter les extensions pour Tor dans son navigateur quotidien fait que l'on utilise son profil habituel, avec les cookies associées...
qu'en est-il des plugins comme Flash etc...
Comme dit dans l'article Tor et le noeud malveillant insérant des malwares, Tor vous anonymise. Point.. Il n'apporte pas plus de sécurité, mais de l'anonymat. Il y a quelques règles à suivre dans l'usage de Tor, règles qui sont exposées dans ce billet Vous voulez que Tor marche vraiment ?. La sécurité, ce sera l'usage d'Https, le fait de ne pas divulguer d'informations personnelles ou confidentielles... Tout dépend une fois de plus de son modèle de menace (voir à ce sujet mon billet Quel est votre modèle de menace ?).
Mes conseils seront donc d'avoir plusieurs profils et usages. Un profil Firefox pour le surf habituel, lié à un pseudonyme (et encore, attention Comment un simple mail peut trahir un anonymat ? ou Comment un pseudonymat peut voler en éclat ?). On utilisera le Torbrowser, pour passer par Tor quand on en a besoin. Voir une clef Tails pour des usages encore plus sécurisé. Tout dépendra de son modèle de menace, du niveau de confidentialité et de sécurité que l'on recherche, de son besoin. Personnellement, je jongle entre les trois, selon. Et surtout Ne pas oublier les mises à jour. Mettre à jour son système, le Torbrowser, sa clef Tails. Pour le TorBrowser et sa mise à jour, on pourra lire Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.
En conclusion, je dirai qu'il faut garder en tête que chaque jour on en apprendra un peu plus sur la sécurité, que chaque jour on fera des erreurs et qu'il faut apprendre de ces erreurs. Il faut sans cesse se remettre en question. Et lire ce blog (en particlier lire les anciens billets (auxquels je fais référence)) ; lire d'autres blogs. Discuter. Expérimenter. Partager. Apprendre. Et m'envoyer des mails, que j'apprenne des choses, que l'on discute et que je repartage ensuite mes connaissances nouvellement acquises ;-)