tor-webwml.git

1) 
2) 
3) 
4) 
5) 
6) 
7) ## translation metadata
8) # Revision: $Revision$
9) # Translation-Priority: 3-low
10) #include "head.wmi" TITLE="Torbutton FAQ" CHARSET="UTF-8"
11) <div class="main-column">
12) 
13) 
14) 
15) <!-- PUT CONTENT AFTER THIS TAG -->
16) <h2>FAQ Torbutton</h2>
17) <hr />
18) 
19) <h3>Questions</h3>
20) <br />
21) <ul>
22) <li><a href="<page torbutton/faq>#nojavascript">Lorsque j'active Tor, les sites
23) qui utilisent javascript ne fonctionnent plus. Pourquoi ?</a></li>
24) <li><a href="<page torbutton/faq>#noreloads">Je ne peux pas cliquer sur les
25) liens ni recharger la page une fois que j'ai activé Tor ! Pourquoi ?</a></li>
26) <li><a href="<page torbutton/faq>#noflash">Je ne peux pas voir les vidéos sur
27) Youtube et les autres sites basés sur Flash. Pourquoi ?</a></li>
28) <li><a href="<page torbutton/faq>#oldtorbutton">Torbutton permet de faire
29) beaucoup de choses mais je trouve que certaines sont génantes à
30) utiliser. Puis-je utiliser l'ancienne version ?</a></li>
31) <li><a href="<page torbutton/faq>#weirdstate">Mon navigateur web est dans un
32) état instable et plus rien ne fonctionne correctement !</a></li>
33) <li><a href="<page torbutton/faq>#noautocomplete">Lorsque j'utilise Tor, Firefox
34) ne remplit plus automatiquement les champs de mot de passe et de boîte de
35) recherche. Pourquoi ?</a></li>
36) <li><a href="<page torbutton/faq>#thunderbird">Qu'en-est-il du support de
37) Thunderbird ? Je vois une page mais s'agit-il de la bonne version ?</a></li>
38) <li><a href="<page torbutton/faq>#extensionconflicts">Quelles extensions de
39) Firefox devrais-je éviter d'utiliser ?</a></li>
40) <li><a href="<page torbutton/faq>#recommendedextensions">Quelles sont les
41) extensions Firefox recommandées ?</a></li>
42) <li><a href="<page torbutton/faq>#securityissues">Existe-t-il d'autres problèmes
43) que je dois connaître ?</a></li>
44) </ul>
45) <br /> <a id="nojavascript"></a> <strong><a class="anchor"
46) href="#nojavascript">Lorsque j'active Tor, les sites qui utilisent
47) javascript ne fonctionnent plus. Pourquoi ?</a></strong>
48) 
49) <p>
50) Javascript peut par exemple attendre que vous ayez désactivé Tor avant de
51) contacter son site source, révélant ainsi votre adresse IP. C'est pourquoi
52) Torbutton doit désactiver Javascript, les tags Meta-Refresh et certaines
53) fonctionnalités de CSS lorsque Tor est actif. Ces fonctionnalités sont
54) réactivées lorsque Torbutton est arrêté. Dans certains cas (particulièrement
55) avec Javascript et CSS), il est impossible de gérer les erreurs résultant de
56) ces blocages et la page est alors impossible à afficher. Malheureusement, la
57) seule chose que vous puissiez faire (tout en masquant votre adresse IP) est
58) de recharger la page que vous consultiez avant d'activer Tor ou vous assurez
59) que vous avez terminé votre travail avant de changer l'état de Tor.
60) </p>
61) 
62) <a id="noreloads"></a> <strong><a class="anchor" href="#noreloads">Je ne
63) peux pas cliquer sur les liens ni recharger la page une fois que j'ai activé
64) Tor ! Pourquoi ?</a></strong>
65) 
66) <p>
67) En raison d'un <a
68) href="https://bugzilla.mozilla.org/show_bug.cgi?id=409737">bug (409737) de
69) Firefox</a>, des pages peuvent encore ouvrir des popups et lancer des
70) redirections et des accès à l'historique par Javascript après que Tor ait
71) été activé. Ces popups et redirections peuvent être bloqués mais ils ne sont
72) malheureusement pas différenciés des interactions normales avec la page

73) (tels que les clics sur les liens, l'ouverture dans de nouveaux

74) onglets/fenêtres ou l'utilisation des boutons d'historique. Du coup, ils
75) sont neutralisés quand même. Une fois que le bug de Firefox sera résolu, ce
76) degré d'isolation deviendra optionnel (réservé aux personnes désirant éviter
77) de cliquer accidentellement sur des liens et de laisser remonter des
78) informations via les referrers). Un contournement est de faire un clic-droit
79) sur le lien et de l'ouvrir dans un nouvel onglet ou une nouvelle
80) fenêtre. L'onglet ou la fenêtre ne va pas s'ouvrir automatiquement mais vous
81) pourrez valider l'entrée de la barre URL ce qui déclenchera le chargement
82) . Valider l'entrée de la barre URL rechargera également la page sans avoir à
83) cliquer sur le bouton de rechargement.
84) </p>
85) 
86) <a id="noflash"></a> <strong><a class="anchor" href="#noflash">Je ne peux
87) pas voir les vidéos sur Youtube et les autres sites basés sur
88) Flash. Pourquoi ?</a></strong>
89) 
90) <p>
91) 

92) Youtube et les sites semblables nécessitent l'utilisation de plugin comme
93) Flash.  Les plugins fonctionnent indépendamment de Firefox et sont
94) susceptibles d'effectuer des actions sensibles pour la préservation de votre
95) anonymat. Par exemple, ils peuvent <a href="http://decloak.net">passer outre
96) la configuration du proxy</a>, trouver <a
97) href="http://forums.sun.com/thread.jspa?threadID=5162138&amp;messageID=9618376">votre
98) adresse IP locale</a> et <a
99) href="http://epic.org/privacy/cookies/flash.html">stocker leurs propres
100) cookies</a>. Il est possible d'utiliser un LiveCD ou une solution à base de
101) machine virtuelle comme <a href="<page torvm/index>">Tor VM</a> ou <a
102) href="https://amnesia.boum.org/">le système Live (Amnesic) Incognito</a> qui
103) mettent en place un proxy transparent vous mettant à l'abri de tout
104) débordement de proxy. A noter toutefois, que la découverte de l'adresse IP
105) locale et les cookies Flash ne sont pas réglés par cette méthode.  </p>

106) 
107) <p>
108) 

109) Si vous ne vous sentez pas concerné par le fait que ces sites vous pistent
110) (et par les sites qui tentent de vous démasquer en se faisant passer pour
111) d'autres) ni par le fait que ces censeurs locaux prennent connaissance de
112) vos visites, vous pouvez activer ces plugins en allant dans les préférences
113) de Torbutton->Paramètres de Sécurité->onglet Contenu Dynamique et
114) décocher la case "Désactiver les plugins pendant l'utilisation de Tor". Si
115) vous faîtes cela sans TorVM, Incognito ou des règles de pare-feux adaptées,
116) nous vous encourageons à utiliser au minimum <a
117) href="https://addons.mozilla.org/en-US/firefox/addon/722">NoScript</a> pour
118) <a href="http://noscript.net/features#contentblocking">bloquer les
119) plugins</a>. Vous n'avez pas besoin d'utiliser les permissions par domaine
120) de NoScript si vous vérifiez l'option <b>Appliquer également ces
121) restrictions aux sites de confiance</b> dans l'onglet des préférences de
122) Plugin de NoScript. En fait, avec cette configuration, vous pouvez même
123) permettre à NoScript d'activer Javascript de manière globale tout en
124) bloquant tous les plugins jusqu'à ce que vous les activiez directement sur
125) la page. Nous vous recommandons également dans ce cas <a

126) href="https://addons.mozilla.org/en-US/firefox/addon/6623">Better

127) Privacy</a> pour vous aider à supprimer les cookies Flash.

128) 
129) </p>
130) 
131) <a id="oldtorbutton"></a> <strong><a class="anchor"
132) href="#oldtorbutton">Torbutton permet de faire beaucoup de choses mais je
133) trouve que certaines sont génantes à utiliser. Puis-je utiliser l'ancienne
134) version ?</a></strong>
135) 
136) <p>
137) 
138) <b>Non.</b> L'utilisation d'une version ancienne ou d'un autre changeur de
139) proxy (incluant FoxyProxy -- voir ci-dessous) sans Torbutton est vivement
140) découragée. L'utilisation d'un changeur de proxy non reconnu est très
141) mauvais pour la sécurité et vous fera perdre votre temps.  <b>N'utilisez pas
142) Tor</b> et vous disposerez du même niveau de sécurité.  Pour plus
143) d'informations sur les types d'attaques auxquelles vous êtes exposé avec une
144) solution maison, merci de consulter <a
145) href="design/index.html#adversary">The Torbutton Adversary Model</a> et en
146) particulier la sous-section traitant des <a
147) href="design/index.html#attacks">Attaques potentielles</a>. S'il existe des
148) fonctionnalités spécifiques de Torbutton que vous n'aimez pas, merci
149) d'ajouter un bug sur <a
150) href="https://bugs.torproject.org/flyspray/index.php?tasks=all&amp;project=5">le

151) bug tracker</a>. Si vous pensez disposer de suffisamment de protection pour

152) ces cas spécifiques, sachez que la plupart des options de sécurités de
153) Torbutton peuvent être désactivées par les préférences.
154) 
155) </p>
156) 
157) <a id="weirdstate"></a> <strong><a class="anchor" href="#weirdstate">Mon
158) navigateur web est dans un état instable et plus rien ne fonctionne
159) correctement !</a></strong>
160) 
161) <p>
162) Essayez de désactiver Tor en cliquant sur le bouton et d'ouvrir une nouvelle
163) fenêtre. Si ça ne corrige pas le problème, allez dans la page des
164) préférences et cliquer sur 'Restaurer la configuration par défaut'. Cela

165) devrait reconfigurer l'extension et Firefox dans une configuration

166) fonctionnelle.  Si vous pouvez reproduire ces problèmes qui perturbent le
167) fonctionnement de Firefox, merci de nous envoyer les détails dans <a
168) href="https://bugs.torproject.org/flyspray/index.php?tasks=all&amp;project=5">le
169) bug tracker</a>.
170) </p>
171) 
172) <a id="noautocomplete"></a> <strong><a class="anchor"
173) href="#noautocomplete">Lorsque j'utilise Tor, Firefox ne remplit plus
174) automatiquement les champs de mot de passe et de boîte de
175) recherche. Pourquoi ?</a></strong>
176) 
177) <p>
178) Ce problème est lié à l'option "<b>Bloquer les écritures d'historique
179) pendant l'utilisation de Tor</b>". Si vous avez activé cette option au cours

180) de la configuration, toutes les fonctionnalités de pré-remplissage de

181) formulaires (lecture et écriture) seront désactivées. Si cela vous ennuie,
182) vous pouvez désactiver cette option. Pour éviter les attaques de divulgation
183) d'historique lors des utilisations sans Tor, il est recommandé de désactiver
184) la lecture de l'historique non Tor si vous permettez l'écriture d'historique
185) pendant l'utilisation de Tor.
186) </p>
187) 
188) <a id="thunderbird"></a> <strong><a class="anchor"
189) href="#thunderbird">Qu'en-est-il du support de Thunderbird ? Je vois une
190) page mais s'agit-il de la bonne version ?</a></strong>
191) 
192) <p>
193) Aux débuts de Thunderbird (version 1.0), Torbutton lui fournissait un

194) support basique de changement de proxy. Néanmoins, ce support a été supprimé

195) car il n'a pas fait l'objet d'une analyse de sécurité. Ma page d'outils de

196) développement sur addons.mozilla.org n'évoque explicitement que le support
197) de Firefox et j'ignore pourquoi ils n'ont pas supprimé la référence à

198) Thunderbird.  Je n'utilise pas Thunderbird et ne dispose malheureusement pas
199) du temps pour analyser les failles de sécurité qu'implique le changement de
200) proxy dans cette application. Cette application doit souffrir du même genre
201) (mais pas des mêmes problèmes) de fuite de proxy par les emails en HTML, les
202) images incorporées, javascript, les extensions et l'accès automatique au
203) réseau. Ma recommandation est de créer un profil Thunderbird spécifique pour
204) Tor et de l'utiliser directement au lieu d'essayer d'activer ou non la
205) configuration de proxy. Mais si vous désirez réellement aller plus vite et
206) ne pas prendre garde à votre IP, vous pouvez utiliser un autre basculeur de
207) proxy tel que ProxyButton, SwitchProxy ou FoxyProxy (si un de ceux-ci
208) supporte Thunderbird).
209) </p>
210) 
211) <a id="extensionconflicts"></a> <strong><a class="anchor"
212) href="#extensionconflicts">Quelles extensions de Firefox devrais-je éviter
213) d'utiliser ?</a></strong>
214) 
215) <p>
216) Cette liste est limitée. Il existe des milliers d'extension Firefox: faire
217) une liste exhaustive de celles qui se révèlent mauvaises pour l'anonymat est
218) pratiquement impossible. Toutefois, voici quelques exemples qui devraient
219) vous donner une idée de quelques comportements dangereux.
220) </p>
221) 
222) <ol>
223)  <li>StumbleUpon, et al
224)  <p>
225)  Ces extensions envoient aux serveurs stumbleupon de nombreuses informations
226) sur les sites web que vous visitez. Elles sont corrélées avec un identifiant
227) unique ce qui est terrible du point de vue anonymat.  Plus généralement, les
228) extensions qui ont besoin que vous vous enregistriez ou les extensions qui
229) fournissent de l'information sur les sites web que vous visitez sont
230) suspectes.
231)  </p></li>
232)  <li>FoxyProxy
233) <p>
234) Bien que FoxyProxy soit une bonne idée en théorie, il est en pratique
235) impossible de le configurer de manière sécurisée pour l'utilisation de Tor
236) sans Torbutton. Comme tous les projets originaux de plugins de proxy, les
237) risques les plus importants sont <a
238) href="http://www.metasploit.com/research/projects/decloak/">les fuites dans
239) le plugin</a> et <a href="http://ha.ckers.org/weird/CSS-history.cgi">la
240) divulgation d'historique</a> suivis par la capture de proxy dans les noeuds
241) de sorties et le suivi par les serveurs de pub (voir le <a
242) href="design/index.html#adversary">Torbutton Adversary Model</a> pour plus
243) d'informations). Toutefois, lorsque Torbutton est installé en tandem et
244) toujours activé, il est possible de configurer FoxyProxy de manière
245) sécurisée (bien que ce ne soit pas aisé). Étant donné que le mode 'motifs'
246) de FoxyProxy s'applique uniquement à des urls bien précises et non à tout
247) l'onglet, configurer FoxyProxy pour contacter des sites spécifiques par Tor
248) permettra quand même aux serveurs de pub (qui ne seront pas dans vos
249) filtres) de découvrir votre véritable adresse IP. Pire, lorsque les sites
250) utilisent des outils de statistiques déconnectés comme Google Analytics,
251) votre adresse IP sera également dans leurs logs. Des noeuds de sorties
252) malicieux peuvent également coopérer avec des sites pour injecter des images
253) dans les pages qui contourneront vos filtres. Configurer FoxyProxy pour
254) envoyer uniquement certaines URLs sans passer par Tor est bien plus
255) sécurisant de ce point de vue mais soyez attentifs aux filtres que vous
256) mettez en place. Par exemple, configurer tout le traffic *google* à passer
257) en dehors de Tor vous fera atterrir dans tous les logs de l'ensemble des
258) sites qui utilisent Google Analytics ! Consultez <a
259) href="http://foxyproxy.mozdev.org/faq.html#privacy-01">cette question</a>
260) sur la FAQ de FoxyProxy pour plus d'information.
261)  </p></li>
262) </ol>
263) 
264) <a id="recommendedextensions"></a> <strong><a class="anchor"
265) href="#recommendedextensions">Quelles sont les extensions Firefox
266) recommandées ?</a></strong>
267) <ol>
268)  <li><a href="https://addons.mozilla.org/firefox/addon/953">RefControl</a>
269) 	<p>
270) Comme mentionné au dessus, cette extension contrôle plus finement
271) l'usurpation du referer que ne le fait Torbutton. Elle devrait casser moins
272) de sites que l'option d'usurpation du referer de Torbutton.</p></li>
273) 
274)  <li><a href="https://addons.mozilla.org/firefox/addon/1474">SafeCache</a>
275) <p>
276) Si vous utilisez Tor en quasi-permanence et que vous le désactivez rarement,
277) vous voudrez sans doute installer cette application qui minimise la capacité

278) de certains sites à stocker les identifiants ayant une longue durée de vie

279) dans votre cache. Cette extension applique la même politique d'origine au
280) cache de manière à ce que les éléments récupérés depuis le cache uniquement
281) s'ils proviennent du même domaine que le document en cours de visualisation.
282) </p></li>
283) 
284)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/6623">Better
285) Privacy</a>
286)  <p>
287) 
288) Better Privacy est une excellent extension qui vous protège des cookies des
289) applications Flash qui sont souvent persistants et non effaçables par
290) Firefox. Flash et les autres plugins sont désactivés par défaut par
291) Torbutton mais si vous désirez améliorer la protection de votre vie privée,
292) vous pouvez utiliser cette extension pour inspecter et supprimer
293) automatiquement les cookies Flash créés lorsque vous n'utilisez pas Tor.
294) 
295)  </p>
296)  </li>
297)  <li><a href="https://addons.mozilla.org/firefox/addon/1865">AdBlock Plus</a>
298)  <p>
299) 
300) AdBlock Plus est une excellente extension qui supprime les publicité sur le
301) web (qui sont génantes, invasives pour tout ce qui touche à la vie privée et
302) qui peuvent également <a
303) href="http://www.wired.com/techbiz/media/news/2007/11/doubleclick">distribuer

304) des malwares</a>). Elle fournit un système <a

305) href="http://adblockplus.org/en/subscriptions">d'abonnements</a> vers des
306) listes continuellement mises à jour pour parer les efforts des réseaux de
307) publicité à passer à travers ces filtres. Je recommande l'abonnement à la
308) combinaison EasyPrivacy+EasyList dans la section Divers de la page
309) d'abonnement.
310) 
311)  </p>
312) </li> 
313) <li><a href="https://addons.mozilla.org/firefox/addon/82">Cookie Culler</a>
314)  <p>
315) 
316) Cookie Culler est une extension utile qui vous donne un accès rapide au
317) gestionnaire de cookies de Firefox. Il permet également de protéger certains
318) cookies de la suppression mais cette fonctionnalité ne fonctionne pas bien
319) avec Torbutton. Kory Kirk travaille à résoudre ce problème pendant le Google
320) Summer of Code 2009.
321) 
322)  </p>
323)  </li>
324) 
325)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/722">NoScript</a>
326)  <p>
327)  Torbutton atténue pour le moment toutes les failles de sécurité connues sous
328) Javascript.  Toutefois, si vous vous sentez concerné par les "exploits"
329) Javascript contre votre navigateur ou contre les sites web sur lesquels vous
330) vous identifiez, vous pouvez utiliser NoScript. Il permet d'activer
331) Javascript uniquement pour certains sites web et propose des mécanismes qui
332) forcent l'utilisation d'urls HTTPS pour les sites qui ont <a
333) href="http://fscked.org/category/tags/insecurecookies">des cookies non
334) sécurisés</a>.<br> Il est toutefois difficile de le configurer pour que la
335) plupart des sites fonctionnent correctement. En particulier, vous devez vous
336) assurer que vous n'avez pas retiré le site addons.mozilla.org de la liste
337) blanche Javascript car les extensions sont téléchargées par http et
338) vérifiées par Javascript à partir de la page https.
339) 
340)  </p></li>
341)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/9727/">Request
342) Policy</a>
343)  <p>
344) 
345) Request Policy est proche de NoScript: il impose que vous configuriez quels
346) sites sont autorisés à charger du contenu depuis d'autres domaines. Il est
347) assez complexe à configurer pour les nouveaux utilisateurs mais il protège
348) très bien des publicités, du contenu injecté et des requêtes cross-site
349) forgery.
350) 
351)  </p>
352)  </li>
353) 
354) </ol>
355) 
356) <a id="securityissues"></a> <strong><a class="anchor"
357) href="#securityissues">Existe-t-il d'autres problèmes que je dois connaître
358) ?</a></strong>
359) 
360) <p>

361) 
362) There are a few known security issues with Torbutton (all of which are due
363) to <a href="design/index.html#FirefoxBugs">unfixed Firefox security
364) bugs</a>).  However, most of these relate to fingerprinting issues, as
365) opposed to outright anonymity leaks.
366) 

367) </p>
368) 
369) <p>
370) De plus, les lecteurs RSS tels que Firefox Livemarks effectuent parfois des
371) rafraîchissements périodiques. A cause du <a
372) href="https://bugzilla.mozilla.org/show_bug.cgi?id=436250">Bug Firefox
373) 436250</a>, il n'y a aucun moyen de désactiver ces mises à jour Livemark
374) lorsque Tor est actif. Cela peut représenter un vrai problème si vous avez
375) beaucoup d'urls Livemark qui fournissent de l'information sur votre
376) identité.
377) </p>
378) 
379)   </div>
380) 
381) 
382)