[Tor] Tuto de sécurité pour Tor

[(-)]

Tuto de sécurité pour Tor



- Demander les pages en anglais

Demander les pages en français mettrait votre anonymat un peu en danger.
Alor dans un nouvel onglet tapez about:config
Cherche les valeurs suivantes ;
extensions.torbutton.spoof_english --> Doit être en ‘True’
extensions.torbutton.spoof_language --> Doit être sur ‘en-us, en’
extensions.torbutton.spoof_locale --> Doit être sur ‘en-US’
Vous pouvez aussi aller dans Préférence > Contenu > Langues et choisir Anglais/etas-Unis [en-us]

- NoScript & JavaScript

Activer NoScript est indispensable.
Cliquez sur le S en haut à gauche puis sur "Interdire JavaScript globalement".
Cliquez à nouveau sur le S, allez dans "Options", dans l'onglet "Objets embarqués" et cochez toutes les cases qui correspondent à des scripts ainsi
que Audio/Video, <IFRAME>, <FRAME>, @font-face et WebGL.
Si vous ne faites pas confiance NoScript pour bloquer JavaScript ouvrez le about:config.
Cherchez la valeur javascript.enabled et double-cliquez dessus pour la passer à false.

- Les extensions

Sur Tor Browser, n'installez JAMAIS d'extensions.
Les sites peuvent consulter la liste des extensions installées sur le navigateur, donc cella vous rend un peu différent des autres navigateurs

- Téléchargements

Surtout ne choisissez jamais d'ouvrir de fichier dans Tor ! Vous exposeriez votre vraie adresse IP (pas l’IP de Tor) au site.
Ne téléchargez jamais de fichiers exécutables à partir du clearnet avec TorBrowser, sauf si vous utilisez une connexion HTTPS avec un certificat valide.

- HTTP Referer

On retourne dans about:config
network.http.sendRefererHeader --> Passez la de 2 à 1. Si vous mettez 0 certains sites peuvent ne plus fonctionner.
extensions.torbutton.refererspoof --> Passez la à 1 au lieu de 0.
network.http.referer.spoofSource --> Passez la à True au lieu de False
network.http.sendSecureXSiteReferrer --> Passez la à False au lieu de True
La meilleur manière d'éviter le referer reste de faire un copier/coller du lien.

- Les bridges obfs4

Si vous n'utilisez pas de VPN et que vous pensez que l'utilisation de Tor vous met en danger,
vous pouvez utiliser des bridges obfs3 pour vous connecter au réseau Tor.
Cela brouille les communications et rend difficile le repérage de votre
utilisation de Tor. Par contre votre navigation sera beaucoup plus lente.
La liste des bridges (ponts) obfs3 ou obfs4 n'est pas publique. En revanche il n'y a pas
un nombre de nœuds infini et la pénurie est possible. Ne les utilisez donc que si nécessaire.
Si vous en avez besoin aller dans les paramètre Tor.
Dans le questionnaire, cliquez sur ‘Votre fournisseur d'accès Internet bloque t-il les connexions au réseau Tor ?’ et indiquez oui.
Après avoir encore cliqué sur suivant, le questionnaire va vous demander de sélectionner quel type de bridges vous souhaitez utiliser.
Normalement, obfs4 est sélectionné par défaut. Si ce n'est pas le cas sélectionnez le et cliquez sur connecter.

- Le tracking par ETAG pour les paranos

Votre navigateur enregistre souvent des pages dans sa mémoire cache.
Cela permet des économies de bande passante.
À chaque page donnée, le serveur donne au navigateur un ETAG. C'est une suite de chiffres et de nombres qui changera si la page est modifiée. Mais son usage peut être détourné en donnant un ETAG unique à chaque navigateur.       
La meilleure solution est de se rendre régulièrement dans le menu de Tor Buttons et de cliquer sur "Nouvelle identité". Ceci vide le cache

- Les canvas HTML

Les canvas permet de réunir beaucoup d'info sur votre navigateur et votre ordinateur.
Pour s'en protéger il suffit de désactiver les scripts dans NoScript (puisque qu'il s'agit souvent de script JS).
Si vous avez laissez votre Javascript activé pour X raisons, le navigateur Tor
vous préviendra si un site tente de vous faire générer un canvas. Choisissez toujours de le bloquer.

- Websocket

Websocket est une fonctionnalité utilisant JavaScript. S’il est correctement désactivé vous n'êtes normalement pas concernés.
Il est tout de même utile de le désactiver dans l'éventualité où vous devriez activer temporairement JavaScript.
Dans about:config passer network.websocket.enabled à False en double cliquant dessus.
Les utilisateurs de Tails devront créer cette ligne en faisant clique droit > nouvelle valeur booléene > false.

- Security Slider

Il permet de définir des niveaux de sécurité et de renforcer le navigateur.
On y accède en cliquant sur le Torbutton puis sur Paramètres de confidentialité et de sécurité.
Plus le niveau est élevé plus le navigateur désactivera les vecteurs d'attaques possibles.
Il faut également cocher toutes les cases.

- PDFJS Viewer

PDF.js Viewer est le lecteur de PDF de Firefox (et donc de Tor Browser). Il y a une vulnérabilité permettant d'accéder à des fichiers sensibles a été découverte. Désactiver le dans about:config.
pdfjs.disabled --> à true.

- Optimisation

Ces options ne sont pas obligatoires c’est juste pour optimiser la navigation
network.http.connection-timeout --> Passez la a 120 au lieu de 90. Éviter le timeout.
network.http.pipelining.max-optimistic-requests --> Passez la valeur à 8. Concerne le pipelining.
network.http.pipelining.maxrequests --> Passez la valeur à 20. Concerne le pipelining.

C'est fini !
Source : FDW