[ Internet ]

Achat sur le Deep Web, protection?

Bonjour, Non il n'est pas nécessaire d'utiliser un veille ordi les market(site marchand) ne contienne pas de malware a proprement parler par contre je te conseille vivement d'activer la protection anti-javascript sur TOR si ce n'est pas déjà  fait.
Bonne journée  :)

SpeedyPohh a écrit

Bonjour, Non il n'est pas nécessaire d'utiliser un veille ordi les market(site marchand) ne contienne pas de malware a proprement parler par contre je te conseille vivement d'activer la protection anti-javascript sur TOR si ce n'est pas déjà  fait.
Bonne journée  :)

Super merci beaucoup pour ta réponse et pour la précision a propos de Java.

Bonne soirée à  toi !

K-fé.

Yog-Sothoth a écrit

K-fé a écrit

J'ai en effet toujours entendu dire que le Deep Web est truffé de malware et autre virus.

Du coup, pour répondre à  ta question, non, il n'est pas nécessaire d'utiliser une autre machine. De toute façon, Tor usurpe les IP et le site que tu visites ne verra pas ton IP (sauf si tu active le Javascript car il y a des exploits qui permettent de faire leaker ton IP. D'où le conseil de base de toujours le désactiver sur le deep).

D'accord, merci beaucoup !

Ce qui prouve que les médias sont bien mensongés car d'après eux aller sur le deep web équivaudrait à  signer l’arrêt de mort de sa machine... Merci pour tes précieuses informations !

K-fé.

Yog-Sothoth a écrit

Va visiter le psychowiki sur Tor. Il est actuellement en cours d'écriture, mais il y a déjà  pas mal d'informations dessus.

Super je vais faire un tour de ce pas

Tu peux faire les deux. Par contre, tu peux développer ? Dans quel cadre tu utilises des machines virtuelles ?

Investir dans les VM pour aller sur Tor est effectivement une excellente idée niveau sécurité. Si tu veux investir là-dedans, je te recommande l'excellent système d'exploitation whonix.

Par contre, pas de VPN avec Tor !!! Ca diminue la sécurité en plus de ralentir ta connexion.

Yog je n'arrive pas à comprendre en quoi utiliser un VPN ***avant*** TOR peut diminuer la sécurité. Si le VPN est après, évidemment c'est un mauvais calcul, très mauvais. Mais avant??? J'ai essayé de comprendre mais je vois pas. J'ai beau faire ça me semble seulement accroitre la sécurité. Et je vois beaucoup de monde qui semble d'accord, à part Tails dont les explications sont très confuses. Tu saurais m'expliquer en français avec des mots que je comprends?

Dernière modification par Syam (08 juillet 2017 à  01:10)

Très bonne explication, merci l'ami ! J'ai tout compris pour ma part :p (m'enfin aussi j'ai un diplome de sciences, il y avait bien une option maths-infos dans ma fac mais j'ai choisi une autre branche huhu).

Alors que se passe t-il si on met une VM dans son PC, puis le VPN dans la VM ?
Le FAI verra l'IP de la VM donc pas de soucis de confidentialité côté FAI. Mais le fait de mettre le VPN avant TOR dans la VM permet quand même de se protéger d'une attaque ciblée (hackers, flics) non ? Comme ca on est protégés des hackers, flics et FAI ? ^^

Pour payer le VPN, un service anonyme et c'est réglé (je pense aux VPN qui acceptent bitcoin que l'on pourra mixer d'abord ou alors aux moyens prépayés de régler l'achat du VPN (virement mandat, cartes prépayées, PCS...)).
J'ai aussi un pote informaticien de confiance qui a son propre VPN qu'il a créé avec lui + quelques amis pour ses gros volumes de téléchargements P2P. Je peux peut-être lui demander un accès mais je ne sais pas si lui et ses potes auront accès à mes données de navigation sur TOR et surtout si un petit VPN privé situé en France sera robuste face à une "perquisition" éventuelles de flics

Et pour les bridges ca se passe comment en gros ? Je vais sur le site et je leur demande un bridge pour ma connexion perso et puis c'est tout ? Ils vont m'en filer dans des délais raisonnables si je suis un simple utilisateur privé ? Ensuite on l'utilise comment ce bridge ? :)

Dernière modification par lendorphine (08 juillet 2017 à  10:43)

lendorphine a écrit

Le FAI verra l'IP de la VM donc pas de soucis de confidentialité côté FAI.

Le FAI verra l'identité de ton routeur (box), VM ou pas. Personnellement, je tourne sur Qubes OS qui virtualise toutes les applications. Il y a une VM dédiée aux connections réseau. Pourtant, ma machine physique et les machines virtuelles qui tournent dedans font partie d'un réseau local. Le rôle de la box est d'assurer la connexion entre ton réseau local et internet.

lendorphine a écrit

Mais le fait de mettre le VPN avant TOR dans la VM permet quand même de se protéger d'une attaque ciblée (hackers, flics) non ? Comme ca on est protégés des hackers, flics et FAI ? ^^

Quel genre d'attaque ? Tout le traffic Tor est chifré. Ni le FAI, ni les flics, ni un hacker n'a accès au contenu des données.

lendorphine a écrit

Pour payer le VPN, un service anonyme et c'est réglé (je pense aux VPN qui acceptent bitcoin que l'on pourra mixer d'abord ou alors aux moyens prépayés de régler l'achat du VPN (virement mandat, cartes prépayées, PCS...)).

Certes, mais bitcoin ou pas, le VPN possède ton IP.

Pour utiliser un bridge, tu peux aller sur [nolabel][url=https://www.torproject.org/docs/bridges]ce site du TorProject[/url qui explique la marche à suivre pour utiliser des bridges.

"Mais alors comment ca se fait que la plupart des sites conseilles d'utiliser également un VPN ?"

Tu as lu les explications? C'est assez subtile quand même.
Les sites n'ont pas forcément tort (sans mauvais jeu de mot), mais leur point de vue est différent.
Le travail de Tor c'est de nous fournir un anonymat et un cryptage difficiles à casser.
Le travail d'un site qui conseille sur comment accéder à un BM, c'est de minimiser les chances de se faire ennuyer.

Si tu as bien saisi ce qu'implique de casser le cryptage de Tor ou son anonymat, c'est du lourd. Les stups vont pas sortir ce genre d'artillerie pour un consommateur ordinaire. Le VPN diminue la sécurité de Tor, mais il évite de se faire identifier comme utilisateur de Tor du moins à un niveau officiel. Ca peut correspondre au final à un usage pertinent dans le contexte.

Mais surtout l'augmentation des risques de voir sauter l'anonymat est assez subtil, j'avais fait des recherches avant que Yog donne des explications claires et j'avais rien compris. Il me semble que ces sites souvent n'ont juste pas étudié le sujet en profondeur.

"Et qu'est-ce que tu penses de passer par le VPN privé de mon pote ?"

Si ta confiance est totale, si il n'offre pas ce service publiquement et si aucune autorité ne peut accéder à son service, et selon ce que moi j'ai compris, alors cela ne va pas diminuer ta sécurité.
Mais si son service est accessible à d'autres, si sa sécurité est faible, alors cela diminue ta sécurité.

Mais encore une fois, entre un dissident politique qu'un gouvernement puissant est prêt à tout pour faire taire... et un pauvre utilisateur de BM pour se procurer sa came à conso personnelle... C'est le jour et la nuit. Même si la NSA casse ton cryptage et sait que tu as commandé 2 grammes de machin à bidule, qu'est-ce que ça peut faire? Sa surveillance n'ayant aucune valeur légale tu peux être sûr d'être classé parmi les 20 millions d'autres consommateurs fichés et oubliés parce qu'ils ont vraiment mieux à faire que s'occuper de toi. Donc si pour ta propre tranquillité tu estimes qu'une légère baisse de la solidité de ton cryptage, tu trouves préférable que ton FAI ne sache pas que tu utilises Tor, alors tu peux bien prendre un VPN. Personnellement je ne trouve pas ça choquant. Pour les grands VPN, du genre HMA!, on peut raisonnablement supposer que par définition les gens qui les utilisent ont *souvent* (pas toujours mais souvent) quelque chose à cacher. Donc on peut raisonnablement imaginer que les autorités ont depuis longtemps pris contact pour négocier leur collaboration. On peut même imaginer que certains des "meilleurs VPN" qui promettent de ne rien loguer etc, sont des compagnies fondées par la CIA. C'est exactement le genre de choses qu'à toujours fait la CIA pour avoir un pied dans le milieu qu'elle ambitionne de surveiller. Du coup les VPN ayant le vent en poupe chez les adeptes de la liberté sont ils mieux que HMA? Certains sans doute, certains sont sans doute pires. C'est un peu la loterie.

Donc tout est une question de stratégie graduée et adaptée à chaque cas :
- Si tu es un téléchargeur de musiques qui contourne les "droits d'auteur" (je passe sur tout le mal que je pense de cette notion absurde) alors HMA est très bien : toute la planète sait que tu télécharge avec ton abonnement HMA à 60 euros l'an, et toute la planète s'en fout. HMA suffit à te "protéger" d'HADOPI les doigts dans le nez. (Et jusqu'à nouvel ordre).
- Si tu es un acheteur de RC sur un BM en .onion, tu tiens peut-être plus à ce que ça ne se sache pas. A toi de voir si le fait de dire à ton FAI que tu utilises Tor te dérange. Si oui tu peux chercher un VPN plus sérieux. Ou un bridge.
- Si tu es un dissident politique dans une dictature fasciste, ta vie dépend de ton anonymat. Comparativement le fait que ton FAI sache que tu utilises Tor n'a aucune importance : tu es déjà considéré comme suspect et si jamais on apprend que tu as des infos secrètes, tu peux te retrouver une balle dans la tête dans les 24 heures. Là tu optes pour le cryptage le plus solide (sans VPN) avec un système vraiment hermétique du genre Tails ou mieux, et tu l'utilises en mode paranoïaque à réfléchir 5 minutes avant de cliquer sur n'importe quoi qui pourrait te compromettre.
- Si tu es le nouveau Snowden, évadé de la NSA avec un dossier de quelques teraoctets d'informations compromettantes sur toutes les personnes les plus influentes du monde et si tu sais qu'elles sont toutes prêtes à te poursuivre pour t'exécuter où que tu ailles, là je te souhaite d'être un génie de l'informatique, parce que c'est pas Tails, Tor ou un VPN qui vont suffire pour assurer ta sécurité.

Merci à Yog de corriger pour les diverses subtilités qui m'auront sans doute échappé.

"Mais alors comment ca se fait que la plupart des sites conseilles d'utiliser également un VPN ?"

Je m'excuse d'avoir oublié de mentionner la raison principale :
Ces sites pour la plus grande part, donnent des liens vers des VPN.
Ce sont des liens publicitaires qui leur rapporte de l'argent pour chaque nouvel abonnement.
Donc majoritairement les sites alarmistes qui expliquent que "vous n'êtes pas du tout sen sécurité sans VPN", essayent surtout de nous convaincre d'acheter un VPN pour encaisser un pourcentage
C'est peu comme téléachat quoi, s'ils nous disent que le produit est indispensable c'est pour le vendre à ceux qui n'en ont pas besoin...

Yog-Sothoth a écrit

Investir dans les VM pour aller sur Tor est effectivement une excellente idée niveau sécurité. Si tu veux investir là-dedans, je te recommande l'excellent système d'exploitation whonix.

Bonjour, je me permets de déterrer le topic car je ne peux te MP. Tout d’abord merci beaucoup pour tes tutos (Tor, GPG, Tails..) qui sont d'une qualité et d'une facilite de compréhension excellente. J'aurais une petite question concernant l'utilisation d'une VM : pour l'instant j'utilise une machine virtuelle Parrot émulée sous Windows a laide de VMWare (je supprime les logs après chaque session) et je me demandais s'il est plus sécurisé d'y aller depuis un live disc de Tails car d'un cote aucun log ne sera enregistré et Windows ne verra rien (étant donne que la VM est émulée depuis Windows), mais d'un autre côté je me demande si l'adresse MAC sera changée comme avec une VM ?
Merci d'avance pour ta lecture
Bonne journée a tous !

Merci pour ta réponse rapide !
J'utilise Parrot car vu que c'est un OS oriente sécurité je me suis dis que ce serait plus sécurisé d'utiliser cet OS d'une autre distrib linux et pas Kali car c'est moins ergonomique.
Je me doutais que Windows pouvait voir ce qui se passait étant donne que c'est dessus qu'est hébergé la machine virtuelle, je me disais justement qu'a cause de ce point il était plus sécurisé d'utiliser le Tails mais c'est vrai que je me suis mal exprimé.
Sinon que penses tu du service Onion over VPN de NordVPN, si tu le connais ?

Dernière modification par okokok (08 janvier 2019 à  18:36)

D'accord merci beaucoup