tor-webwml.git

1) 
2) 

3) 
4) 
5) 
6) 
7) ## translation metadata
8) # Revision: $Revision$
9) # Translation-Priority: 4-optional
10) #include "head.wmi" TITLE="Tor: Volunteer" CHARSET="UTF-8"

11) <div class="main-column">
12) 

13) 

14) <!-- PUT CONTENT AFTER THIS TAG -->

15) <h2>Un certain nombre de choses que vous pouvez faire:</h2>

16) <ol>

17) <li>Pensez à <a href="<page docs/tor-doc-relay>">héberger un noeud</a> pour
18) aider à la croissance du réseau Tor.</li>
19) <li>Informez vos amis ! Faites-leur héberger des serveurs. Faites-leur utiliser
20) les services

21) cachés. Encouragez-les à informer leurs propres amis.</li>

22) <li>Si vous adhérez aux objectifs de Tor, prenez s'il-vous-plaît un moment <a
23) href="<page donate>">pour faire un don et aider le développement futur de
24) Tor</a>. Nous recherchons également plus de sponsors &mdash; si vous
25) connaissez des entreprises, des ONG, ou d'autres organisations qui veulent
26) un anonymat,une protection de la vie privée, sécurité dans leurs
27) communications, parlez-leur de nous.</li>
28) <li>Nous sommes recherchons plus <a href = "<page torusers>"> de bons exemples
29) d'utilisateurs de Tor et des cas d'utilisation Tor</a>. Si vous utilisez Tor
30) dans un scénario ou le but, non encore décrits sur cette page, et vous êtes
31) à l'aise pour le partager avec nous,nous aimerions que vous nous en parliez.</li>

32) </ol>
33) 

34) <p>Tor a <a href="<page open-positions>">deux postes à pourvoir</a>.  Merci de
35) <a href="<page contact>">nous contacter</a> si vous êtes qualifié !</p>

36) 

37) <a id="Documentation"></a>
38) <h2><a class="anchor" href="#Documentation">Documentation</a></h2>

39) <ol>

40) <li>Aidez-nous à traduire le site et la documentation dans d'autres
41) langues. Allez voir les <a href="<page translation>">conseils de
42) traduction</a> si vous souhaitez le faire. Nous avons besoin plus
43) spécialement de personnes pour traduire en Arabe ou en Persan pour les
44) utilisateurs Tor situés dans les zones censurées.</li>

45) <li>Evaluate and document <a
46) href="https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/TorifyHOWTO">our
47) list of programs</a> that can be configured to use Tor.</li>
48) <li>We have a huge list of <a
49) href="https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/SupportPrograms">potentially
50) useful programs that interface to Tor</a>. Which ones are useful in which
51) situations? Please help us test them out and document your results.</li>

52) </ol>
53) 
54) <a id="Advocacy"></a>
55) <h2><a class="anchor" href="#Advocacy">Plaidoyer</a></h2>
56) <ol>

57) <li>Create a <a
58) href="https://trac.torproject.org/projects/tor/wiki/CommunityLogos">community
59) logo</a> under a Creative Commons license that all can use and modify</li>

60) <li>Créer une présentation qui puisse être utilisée lors des nombreux meetings
61) de groupe sur toute la planète.</li>

62) <li>Create a video about the positive uses of Tor, what Tor is, or how to use
63) it.  Some have already started on <a
64) href="http://media.torproject.org/video/">Tor's Media server</a>, <a

65) href="http://www.howcast.com/videos/90601-How-To-Circumvent-an-Internet-Proxy">Howcast</a>,

66) and <a href="http://www.youtube.com/thetorproject">Youtube</a>.</li> 

67) <li>Créer un poster ou un jeu de posters autour d'un thème tel que "Tor pour la
68) Liberté !"</li>

69) </ol>
70) 

71) <a id="Coding"></a> <a id="Summer"></a> <a id="Projects"></a>
72) <h2><h2><a class="anchor" href="#Projects">Bons Projets de code</a></h2></h2>

73) 

74) <p>

75) Quelques-uns de ces projets peuvent sans doute faire de bonnes idées pour le
76) <a href="<page gsoc>">Google Summer of Code 2010</a>. Nous avons marqué
77) chaque idée avec son niveau d'utilité globale pour le projet Tor (priorité),
78) quelle quantité de travail nous attendons (niveau d'effort), avec quelles
79) prérequis vous pouvez commencer (compétences requises) et lequel de nos <a
80) href="<page people>#Core">développeurs de coeur de projet</a> sont
81) pré-sentis pour devenir tuteur.  Si une (ou plus) de ces idées vous semble
82) prometteuse, merci de <a href="<page contact>">nous contacter</a> pour
83) discuter de vos intentions plutôt que de nous envoyer une application toute
84) faîte. Vous pouvez également nous proposer votre propre idée &mdash; ce qui
85) conduit souvent à la meilleure application.

86) </p>

87) 

88) <ol>

89) 

90) <li>

91) <b>Tor Browser Bundle for Mac OS X</b> <br /> Priority: <i>High</i> <br />
92) Effort Level: <i>High</i> <br /> Skill Level: <i>Medium</i> <br /> Likely
93) Mentors: <i>Steven, Erinn, Jacob, Andrew</i> <br /> The Tor Browser Bundle
94) incorporates Tor, Firefox, Polipo, and the Vidalia user interface (and
95) optionally the <a href="http://pidgin.im/">Pidgin</a> Instant Messaging
96) client). Components are pre-configured to operate in a secure way, and it
97) has very few dependencies on the installed operating system. It has
98) therefore become one of the most easy to use, and popular, ways to use Tor
99) on Windows.  <br /> However, there is currently no released package for Mac
100) OS X, so this project would be to implement Tor Browser Bundle for OS
101) X. This will involve modifications to Vidalia (C++), possibly Firefox (C)
102) then creating and testing the launcher on a range of operating system
103) versions and configurations to verify portability.  Some work on this was
104) completed as part of the Google Summer of Code 2009. Another part of this
105) project is to identify all of the traces left behind by using a Tor Browser
106) Bundle on Mac OS X or Linux.  Developing ways to stop, counter, or remove
107) these traces is a final step.  <br /> Students should be familiar with
108) application development on one or preferably both of Linux and Mac OS X, and
109) be comfortable with C/C++ and shell scripting.  <br /> Part of this project
110) could be usability testing of Tor Browser Bundle, ideally amongst our target
111) demographic.  That would help a lot in knowing what needs to be done in
112) terms of bug fixes or new features. We get this informally at the moment,
113) but a more structured process would be better.  <br /> A beta version of the
114) Tor Browser Bundle has been released for GNU/Linux, but work is still
115) required for the Tor IM Browser bundle. Work is currently being done on the
116) Mac OS X version as well. If you would like to help extend or do security
117) auditing for either (or both) of these, please contact Erinn.

118) </li>
119) 
120) <li>

121) <b>Aider à mesurer l'état général du réseau Tor</b> <br /> Priorité:
122) <i>Moyenne à Haute</i> <br /> Effort à fournir: <i>Moyen</i> <br />
123) Compétences requises: <i>Moyennes</i> <br /> Tuteurs potentiels: <i>Karsten,
124) Roger</i> <br /> Il serait bon de mettre en place un système automatisé pour
125) rendre compte de la santé du réseau au cours du temps, avec des graphiques,
126) etc... Une partie de ce projet consisterait à trouver un système de mesure
127) adéquat pour évaluer la santé du réseau et sa croissance. Est-ce-que sa
128) durée de fonctionnement augmente ? Combien de relais sont en cours de
129) qualification pour adopter l'état Guard ce mois-ci comparé au mois précédent
130) ? Comment est le turnover entre les nouveaux relais qui apparaissent et ceux
131) qui s'éteignent ? Régulièrement, des personnes collectes de brèves photos
132) d'état mais il est plus intéressant de le faire sur une longue période.  <br
133) ./> Les données peuvent être collectées depuis les scanners du réseau Tor
134) dans <a
135) href="https://svn.torproject.org/svn/torflow/trunk/README">TorFlow</a>,
136) depuis les descripteurs de serveurs publiés par chaque relais et ailleurs
137) également. Les résultats sur le long terme pourraient être présentés sur
138) l'une des pages web de <a href="https://torstatus.blutmagie.de/">Tor
139) Status</a> ou éventuellement ailleurs. En parlant des pages Tor Status,
140) prenez le temps de consulter <a
141) href="http://archives.seul.org/or/talk/Jan-2008/msg00300.html">la
142) "whish-list" Tor Status</a> de Roger.

143) </li>
144) 

145) <li>

146) <b>Rewrite TorDNSEL, this time with a spec!</b> <br /> Priority: <i>High</i>
147) <br /> Effort Level: <i>Medium</i> <br /> Skill Level: <i>Medium</i> <br />
148) Likely Mentors: <i>Mike, Roger, Sebastian, Damian</i> <br /> The <a
149) href="<page tordnsel/index>">Tor DNS Exit List</a> is an unmaintained
150) Haskell program that serves three purposes. First, it provides an rbl-style
151) DNS interface for people to look up whether a given IP address is (or has
152) recently been) a Tor exit relay. Second, it actively builds circuits over
153) the Tor network and connects back to itself, to learn the actual exit IP
154) address of each relay &mdash; some Tor relays exit from a different address
155) than they advertise in their descriptor. Third, it exports a <a
156) href="http://exitlist.torproject.org/exitAddresses">set of conclusions</a>
157) so that <a href="https://check.torproject.org/">check.torproject.org</a> can
158) guess for you whether your browser is configured to point to Tor.  <br />
159) This project would make use of <a
160) href="https://svn.torproject.org/svn/torflow/trunk/README">TorFlow</a>, a
161) set of Python scripts to interact with Tor, to figure out how our Tor Exit
162) Checker should actually work, and then build it &mdash; probably in Python
163) since Torflow is in Python. The main goal is to reduce false positives as
164) much as possible, by making sure that it learns about new relays as soon as
165) possible, making sure that the testing phase concludes quickly, and making
166) sure the answers get passed to the Check script quickly. As a bonus, we
167) should standardize (specify) the format of the exitAddresses file, and
168) rewrite the <a

169) href="https://svn.torproject.org/svn/check/trunk/cgi-bin/TorBulkExitList.py">Tor

170) Bulk Exit List</a> script to use that file rather than its current <a

171) href="https://trac.torproject.org/projects/tor/ticket/1019">horrible DNS
172) hacks</a>. As an extra bonus, we should work with Freenode, OFTC, and/or

173) other IRC networks to make sure that the scripts we offer are actually the
174) scripts they want, in terms of accurately identifying which of their users
175) are coming from the Tor network.  <br /> You can fetch the <a
176) href="git://git.torproject.org/git/tordnsel">latest tordnsel</a> via git.

177) </li>
178) 

179) <li>

180) <b>Improving Tor's ability to resist censorship</b> <br /> Priority:
181) <i>Medium to High</i> <br /> Effort Level: <i>Medium to High</i> <br />
182) Skill Level: <i>High</i> <br /> Likely Mentors: <i>Roger, Nick, Steven</i>
183) <br /> The Tor 0.2.1.x series makes <a
184) href="<svnprojects>design-paper/blocking.html">significant improvements</a>
185) in resisting national and organizational censorship.  But Tor still needs
186) better mechanisms for some parts of its anti-censorship design.  <br /> One
187) huge category of work is adding features to our <a
188) href="http://gitweb.torproject.org//bridgedb.git?a=tree">bridgedb</a>
189) service (Python). Tor aims to give out <a href="<page bridges>">bridge relay
190) addresses</a> to users that can't reach the Tor network directly, but
191) there's an arms race between algorithms for distributing addresses and
192) algorithms for gathering and blocking them. See <a
193) href="https://blog.torproject.org/blog/bridge-distribution-strategies">our
194) blog post on the topic</a> as an overview, and then look at <a
195) href="http://archives.seul.org/or/dev/Dec-2009/msg00000.html">Roger's or-dev
196) post</a> from December for more recent thoughts &mdash; lots of design work
197) remains.  <br /> If you want to get more into the guts of Tor itself (C), a
198) more minor problem we should address is that current Tors can only listen on
199) a single address/port combination at a time. There's <a
200) href="<gitblob>doc/spec/proposals/118-multiple-orports.txt">a proposal to
201) address this limitation</a> and allow clients to connect to any given Tor on
202) multiple addresses and ports, but it needs more work.  <br /> This project
203) could involve a lot of research and design. One of the big challenges will
204) be identifying and crafting approaches that can still resist an adversary
205) even after the adversary knows the design, and then trading off censorship
206) resistance with usability and robustness.

207) </li>

208) 
209) 

210) 
211) <!--<li>
212) 
213) <b>Tuneup Tor!</b>
214) <br />
215) Priority: <i>Medium to High</i>
216) <br />
217) Effort Level: <i>Medium to High</i>
218) <br />
219) Skill Level: <i>High</i>
220) <br />
221) Likely Mentors: <i>Nick, Roger, Mike, Karsten</i>
222) <br />
223) Right now, Tor relays measure and report their own bandwidth, and Tor
224) clients choose which relays to use in part based on that bandwidth.
225) This approach is vulnerable to
226) <a href="http://freehaven.net/anonbib/#bauer:wpes2007">attacks where
227) relays lie about their bandwidth</a>;
228) to address this, Tor currently caps the maximum bandwidth
229) it's willing to believe any relay provides.  This is a limited fix, and
230) a waste of bandwidth capacity to boot.  Instead,
231) Tor should possibly measure bandwidth in a more distributed way, perhaps
232) as described in the
233) <a href="http://freehaven.net/anonbib/author.html#snader08">"A Tune-up for
234) Tor"</a> paper
235) by Snader and Borisov. One could use current testing code to
236) double-check this paper's findings and verify the extent to which they
237) dovetail with Tor as deployed in the wild, and determine good ways to
238) incorporate them into their suggestions Tor network without adding too
239) much communications overhead between relays and directory
240) authorities.
241) </li>-->

242) <li>

243) <b>Améliorer Polipo sous Windows</b> <br /> Priorité: <i>Moyenne à Haute</i>
244) <br /> Effort à fournir: <i>Moyen</i> <br /> Compétences requises:
245) <i>Moyennes</i> <br /> Tuteurs potentiels: <i>Chris</i> <br />Il faut nous
246) aider à porter <a
247) href="http://www.pps.jussieu.fr/~jch/software/polipo/">Polipo</a> sous
248) Windows. Quelques exemples de sujets à retenir:
249) <ol><li> la possibilité d'interroger de manière asynchrone les serveurs de noms,
250) trouver les serveurs de noms utilisés par le système et gérer les requêtes
251) netbios et dns.</li>
252) <li> gérer nativement les tampons et les évènement (i.e. sous les OS de type
253) Unix, Polipo occupe 25% de la ram, sous Windows, c'est selon la
254) configuration).</li>
255) <li> un outil graphique de configuration et de rapport, avec en bonus, une icône
256) de barre système avec un menu d'option par clic-droit. Double-bonus si c'est
257) multiplateforme.</li>
258) <li> permettre au logiciel d'utiliser le registre Windows et de gérer
259) correctement les emplacements de répertoire Windows tels que "C:\Program
260) Files\Polipo"</li>
261) </ol>

262) </li>

263) 

264) <li>

265) <b>Interface de contrôle des évènements d'état de Tor</b> <br /> Priorité:
266) <i>Moyenne</i> <br /> Effort à fournir: <i>Moyen</i> <br /> Compétences
267) requises: <i>Faibles à Moyennes</i> <br /> Tuteurs potentiels: <i>Matt</i>
268) <br /> Il existe un grand nombre de changement d'état à l'intérieur de Tor
269) qu'il serait bon de signaler à l'utilisateur. Par exemple, si l'utilisateur
270) essaye de configure son noeud Tor en tant que relais et que Tor décide que
271) ses ports ne sont pas accessibles depuis l'extérieur, l'utilisateur devrait
272) en être averti. Actuellement, tous ce que l'utilisateur récupère sont les
273) quelques messages de log dans la fenêtre Vidalia 'message log' qui est
274) rarement consultée puisqu'aucun avertissement n'est notifié. Même si
275) l'utilisateur consulte les messages de log, ces derniers sont souvent peu
276) compréhensibles pour les novices.  <br /> Tor a la possibilité d'informer
277) Vidalia de ces nombreux changements d'état et nous avons récemment
278) implémenté le support de quelques-uns d'entre-eux. Toutefois, il existe
279) beaucoup d'autres changement d'état à notifier et nous avons besoin d'une
280) meilleure interface pour les communiquer à l'utilisateur.  <br /> L'objectif
281) de ce projet est donc de concevoir et d'implémenter une interface pour
282) notifier les évènements d'état à l'utilisateur. Par exemple, on pourrait
283) mettre un petit badge sur l'icône de Vidalia qui alerterait l'utilisateur
284) sur les évènement d'état qu'il doit consulter. Double-cliquer sur l'icône
285) afficherait une fenêtre résumant les évènements récents en termes faciles à
286) comprendre et peut-être également des suggestions pour remédier aux
287) évènements négatifs qui pourraient être réglés par l'utilisateur. Bien
288) entendu, c'est juste un exemple et les suggestions sont ouvertes.  <br ./>
289) Une personne en charge de ce projet devrait avoir de solides compétences en
290) conception et en ergonomie ainsi que de l'expérience dans le développement
291) en C++. Une expérience avec Qt et le designer Qt serait un plus. Des
292) capacités de rédaction en Anglais seraient appréciées car le projet implique
293) probablement la rédaction de quelques documentations compréhensible par les
294) utilisateurs non techniques. En bonus, des compétences graphiques
295) permettrait de créer les belles nouvelles icônes dont nous aurons besoin.

296) </li>

297) 

298) <li>

299) <b>Améliorer notre processus de tests unitaires</b> <br /> Priorité:
300) <i>Moyenne</i> <br /> Effort à fournir: <i>Moyen</i> <br /> Compétences
301) requises: <i>Moyennes</i> <br /> Tuteurs potentiels: <i>Nick, Errin</i> <br
302) /> Tor a besoin d'être bien plus testé. Ce travail est composé de plusieurs
303) parties. Pour commencer, notre couverture de tests unitaires devrait être
304) plus large, spécialement du côté des fonctions utilitaires. Cela implique la
305) refonte de certaines parties de Tor dans le but de dissocier le plus
306) possible la logique du reste.  <br /> Ensuite, nous devons automatiser les
307) tests de performance. Nous avons utilisé builbot pour automatiser notre
308) processus d'intégration et de tests de compilation (nous sommes à la
309) recherche de quelqu'un qui pourrait le faire fonctionner sous Windows). Mais
310) nous avons besoin de mettre à jour nos tests de simulation réseau
311) (construits dans <a
312) href="https://svn.torproject.org/svn/torflow/trunk/README">TorFlow</a>) pour
313) les versions récentes de Tor et de concevoir la mise en place d'un réseau de
314) test soit sur une seule machine soit sur plusieurs de manière à tester
315) automatiquement les changements de performances selon les rôles de chaque
316) machine.

317) </li>

318) 

319) <li>

320) <b>Aider les implémentations de clients Tor indépendantes</b> <br />
321) Priorité: <i>Moyenne</i> <br /> Effort à fournir: <i>Important</i> <br />
322) Compétences requises: <i>Moyennes à Hautes</i> <br /> Tuteurs potentiels:
323) <i>Karsten, Nick</i> <br /> D'autres personnes travaillent en ce moment sur
324) des clients Tor pour Java, Android et Maemo.  La première étape est de vous
325) intéresser au projet dans lequel vous désirez vous investir: <a
326) href="http://github.com/brl/JTor">Tor pour Java</a>, <a
327) href="https://svn.torproject.org/svn/projects/android/trunk/">Androif/Orbot</a>
328) ou Tor pour Maemo. Consultez les dépôts et familiarisez-vous avec le code
329) source.  De plus, nous recherchons quelqu'un qui pourrait  (mais ce n'est
330) pas requis) travailler sur l'interrogation ou même l'hébergement des
331) services cachés Tor sur ces plateformes.  <br /> Un développeur compétent
332) devrait être capable de comprendre et d'écrire du code Java, y compris une
333) API Java de chiffrement. Connaître le C serait également un vrai plus. Il
334) faut également vouloir lire et contribuer à la documentation existante car
335) l'implémentation du code est basée sur celle-ci. Ce projet est
336) essentiellement un projet de code qui nécessite quelques compétences en
337) matière de conception.

338) </li>

339) <li>
340) <b>More on Orbot &amp; Android OS-specific development</b> <br/> <br />
341) Priority: <i>Medium</i> <br /> Effort Level: <i>High</i> <br /> Skill Level:
342) <i>Medium to High</i> <br /> Likely Mentors: <i>Nathan</i> <br /> <b>Android
343) Java UI work:</b> Improved home screen to show better statistics about data
344) transferred (up/down), number of circuits connected, quality of connection
345) and so on. The "Tether Wifi" Android application is a good model to follow
346) in how it shows a realtime count of bytes transferred as well as
347) notifications when wifi client connect. In addition, better display/handling
348) of Tor system/error messages would also be very helpful. Finally, the
349) addition of a wizard or tutorial walkthrough for novice users to explain to
350) them exactly what or what is not anonymized or protected would greatly
351) improve the likelihood they will use Orbot correctly.  <br/><br/> <b>Android
352) Java OS/Core app work:</b> Better system-wide indicator either via the
353) notification bar, "Toast" pop-up dialogs or some other indicator that an
354) application's traffic is indeed moving through Orbot/Tor. For instance,
355) right now you need to first go to a torcheck web service to ensure your
356) browser is routing via Tor. Orbot should be able to notify you that circuits
357) are being opened, used, etc. The aforementioned data transfer tracker might
358) provide this type of awareness as well.  <br/><br/> <b>Android Java
359) Library/Community Outreach work:</b> We need to package a simple library for
360) use with third-party application to easily enable them to support
361) "Torification" on non-root devices (aka w/o transparent proxying). This
362) library should include a wrapper for the Apache HTTPClient library, a
363) utility class for detecting the state of Orbot connectivity, and other
364) relevant/useful things an Android app might need to anonymize itself. This
365) work would include the creation of the library, documentation, and sample
366) code. Outreach or effort to implement the library within other open-source
367) apps would follow.  <br/><br/> <b>Android OS/C/Linux work:</b> The port of
368) Tor to Android is basically a straight cross-compile to Linux ARM. There has
369) been no work done in looking the optimization of Tor within a mobile
370) hardware environment, on the ARM processor or other Android hardware, or on
371) mobile networks. It should be noted, that even without optimization, Tor is
372) handling the mobile network environment very well, automatically detecting
373) change in IP addresses, reconnecting circuits, etc across switching from 2G
374) to 3G to Wifi, and so forth. 
375) </li>

376) 
377) 

378) 
379) 

380) 
381) <!--<li>
382) 
383) <b>New Torbutton Features</b>
384) <br />
385) Priority: <i>Medium</i>
386) <br />
387) Effort Level: <i>High</i>
388) <br />
389) Skill Level: <i>High</i>
390) <br />
391) Likely Mentors: <i>Mike</i>
392) <br/>
393) There are several <a

394) href="https://trac.torproject.org/projects/tor/report/14">good
395) feature requests</a> on the Torbutton Trac section. In particular, <a
396) href="https://trac.torproject.org/projects/tor/ticket/523">Integrating

397) 'New Identity' with Vidalia</a>,

398) <a href="https://trac.torproject.org/projects/tor/ticket/940">ways of
399) managing multiple cookie jars/identities</a>, 
400) <a href="https://trac.torproject.org/projects/tor/ticket/637">preserving

401) specific cookies</a> when cookies are cleared,
402) <a

403) href="https://trac.torproject.org/projects/tor/ticket/524">better

404) referrer spoofing</a>, <a

405) href="https://trac.torproject.org/projects/tor/ticket/564">correct

406) Tor status reporting</a>, and <a

407) href="https://trac.torproject.org/projects/tor/ticket/462">"tor://"

408) and "tors://" urls</a> are all interesting
409) features that could be added.
410) <br />
411) This work would be independent coding in Javascript and the fun world of <a
412) href="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul">XUL</a>,
413) with not too much involvement in the Tor internals.
414) </li>-->

415) <!-- <li>
416) 
417) <b>New Thandy Features</b>
418) <br />
419) Priority: <i>Medium</i>
420) <br />
421) Effort Level: <i>Medium</i>
422) <br />
423) Skill Level: <i>Medium to High</i>
424) <br />
425) Likely Mentors: <i>Martin</i>
426) <br />
427) Additional capabilities are needed for assisted updates of all the Tor
428) related software for Windows and other operating systems. Some of the
429) features to consider include:

430) <ol>

431) <li> Integration of the <a
432) href="http://chandlerproject.org/Projects/MeTooCrypto">MeTooCrypto
433) Python library</a>
434) for authenticated HTTPS downloads.</li>
435) <li> Adding a level of indirection
436) between the timestamp signatures and the package files included in an
437) update. See the "Thandy attacks / suggestions" thread on or-dev.</li>
438) <li> Support locale specific installation and configuration of assisted
439) updates based on preference, host, or user account language settings.
440) Familiarity with Windows codepages, unicode, and other character sets
441) is helpful in addition to general win32 and posix API experience and
442) Python proficiency.</li>

443) </ol>

444) </li> -->

445) <li>

446) <b>Simulateur pour les connexion Internet lentes</b> <br /> Priorité:
447) <i>Moyenne</i> <br /> Effort à fournir: <i>Moyen</i> <br /> Compétences
448) requises: <i>Moyennes</i> <br /> Tuteurs potentiels: <i>Steven</i> <br /> De
449) nombreux utilisateurs de Tor disposent de connexions à Internet de qualité
450) médiocre avec une faible bande passante, beaucoup de latence et de
451) nombreuses pertes ou tris de paquets. A l'usage, Tor ne se comporte pas très
452) bien dans ces conditions mais il est difficile d'améliorer la situation sans
453) pouvoir reproduire le problème en laboratoire.  <br /> Ce projet consiste à
454) élaborer un environnement de simulation d'une connection médiocre de manière
455) à ce que l'effet sur Tor puisse être mesuré. D'autres composants à mettre en
456) place pourraient être des utilitaires de test des propriétés des connexions
457) disponibles pour mesurer l'effet sur les performance des modifications
458) apportées à Tor.  <br /> Le responsable du projet peut utiliser les outils
459) de son choix mais dummynet (pour FreeBSD) et nisnet (pour Linux) sont deux
460) composants sur lesquels le projet peut être construit. Les étudiants
461) devraient avoir de l'expérience en programmation réseau et en TCP/IP, de
462) préférence compétents en C et en langage de script.

463) </li>

464) 

465) <li>

466) <b>Une meilleure et plus utile carte du réseau dans Vidalia</b> <br />
467) Priorité: <i>Faible à Moyenne</i> <br /> Effort à fournir: <i>Moyen</i> <br
468) /> Compétences requises: <i>Moyennes</i> <br /> Tuteurs potentiels:
469) <i>Matt</i> <br /> Une des fonctionnalités courantes de Vidalia est la carte
470) du réseau qui montre à l'utilisateur l'emplacement approximatif des relais
471) du réseau Tor et qui trace les chemins empruntés par le trafic qui y est
472) injecté. La carte n'est pas très interactive pour le moment et est de
473) médiocre qualité graphique. A la place, nous avons implémenté le widget KDE
474) Marble pour nous donner une carte de meilleure qualité et nous permettre une
475) meilleure interactivité tel que l'affichage des informations d'un relais ou
476) d'un chemin lorsqu'on clique dessus. Nous voulons ajouter la possibilité
477) pour les utilisateurs de cliquer sur un relais ou un pays contenant un ou
478) plusieurs relais de sortie Tor et dire "Je veux que mes connexions de sortie
479) se fasse à partir d'ici.". <br /> Ce projet implique d'abord d'être
480) familiarisé avec Vidalia et l'API du widget Marble. On pourra ensuite
481) intégrer le widget dans Vidalia et adapter Marble à notre application, comme
482) rendre les circuits cliquables, l'enregistrement du cache des données de la
483) carte dans le répertoire de Vidalia et l'adaptation de certaines des
484) interfaces du widget.  <br /> Une personne intéressée par ce projet devrait
485) disposer d'une bonne expérience de développement en C++. Une expérience avec
486) Qt et Cmake serait un vrai plus.

487) </li>

488) 

489) <li>

490) <b>Équivalent de Torbutton pour Thunderbird</b> <br /> Priorité:
491) <i>Moyenne</i> <br /> Effort à fournir: <i>Important</i> <br /> Compétences
492) requises: <i>Hautes</i> <br /> Tuteurs potentiels: <i>Mike</i> <br /> Nous
493) entendons parler d'un nombre de plus en plus important d'utilisateurs qui
494) désirent utiliser Thunderbird avec Tor. Néanmoins, il y a plein de problèmes
495) de niveau applicatifs, par exemple, par défaut Thunderbird ajoutera votre
496) nom d'hôte au mail sortant qu'il envoie. A un certain niveau, nous devrions
497) pousser la réalisation d'une extension Thunderbird similaire à Torbutton.

498) </li>

499) 
500) 

501) 
502) <!--<li>
503) 
504) <b>Intermediate Level Network Device Driver</b>
505) <br />
506) Priority: <i>Low</i>
507) <br />
508) Effort Level: <i>High</i>
509) <br />
510) Skill Level: <i>High</i>
511) <br />
512) Likely Mentors: <i>Martin</i>
513) <br />
514) The WinPCAP device driver used by Tor VM for bridged networking does
515) not support a number of wireless and non-Ethernet network adapters.
516) Implementation of a intermediate level network device driver for win32
517) and 64bit would provide a way to intercept and route traffic over such
518) networks. This project will require knowledge of and experience with
519) Windows kernel device driver development and testing. Familiarity with
520) Winsock and Qemu would also be helpful.
521) </li>-->

522) <li>

523) <b>Improve Tor Weather</b> <br /> Priority: <i>Medium</i> <br /> Effort
524) Level: <i>Medium</i> <br /> Skill Level: <i>Medium</i> <br /> Likely
525) Mentors: <i>Christian, Roger, Damian</i> <br /> <a
526) href="https://weather.torproject.org/">Tor weather</a> is a tool that allows
527) signing up to receive notifications via email when the tracked Tor relay is
528) down. Currently, it isn't really useful for people who use the hibernation
529) feature of Tor, or for those who have to shut down their relay
530) regularly. During the project, Tor weather could be extended to allow more
531) flexible configurations.  Other enhancements are also possible: Weather
532) could send out warnings when your relay runs an out-of-date version of Tor,
533) or when its observed bandwith drops below a certain value. It might also be
534) a nice tool that allows for checking whether your relay has earned you a <a
535) href="<page tshirt>">T-Shirt</a>, or sending reminders to directory
536) authorities that their keys are about to expire. Be creative, and consider
537) how the above project to track overall network status can help you get your
538) job done more quickly! See also its <a
539) href="https://svn.torproject.org/svn/weather/trunk/README">README</a> and <a

540) href="https://svn.torproject.org/svn/weather/trunk/TODO">TODO</a>.

541) </li>
542) 
543) <li>

544) <b>Improvements for Tor+Vidalia interaction on Linux/Unix platforms</b> <br
545) /> Priority: <i>Medium</i> <br /> Effort Level: <i>Medium</i> <br /> Skill
546) Level: <i>Medium</i> <br /> Likely Mentors: <i>Erinn, Peter</i> <br />
547) Vidalia currently doesn't play nicely with Tor on Linux and Unix platforms.
548) Currently, on Debian and Ubuntu, there is a configuration mechanism which
549) allows Vidalia to override Tor's ability to start on boot (by sourcing
550) <code>/etc/default/tor.vidalia</code> which sets <code>RUN_DAEMON=no</code>
551) at the user's request), but full implementation of <a
552) href="<gitblob>doc/spec/control-spec.txt">ControlPort</a> communication is
553) still required.  <br /> A better solution on Linux and Unix platforms would
554) be to use Tor's ControlSocket, which allows Vidalia to talk to Tor via a
555) Unix domain socket, and could possibly be enabled by default in Tor's
556) distribution packages.  Vidalia can then authenticate to Tor using
557) filesystem-based (cookie)  authentication if the user running Vidalia is
558) also in the distribution-specific tor group.  <br /> This project will first
559) involve adding support for Tor's ControlSocket to Vidalia. The student will
560) then develop and test this support on various distributions to make sure it
561) behaves in a predictable and consistent manner on all of them.  <br /> The
562) next challenge would be to find an intuitive and usable way for Vidalia to
563) be able to change Tor's configuration (torrc) even though it is located in
564) <code>/etc/tor/torrc</code> and thus immutable. In Debian and Ubuntu we
565) handle this with the aforementioned <code>/etc/default/tor.vidalia</code>
566) but this functionality could (or should) be less distribution-specific.  <br
567) /> The best idea we've come up with so far is to feed Tor a new
568) configuration via the ControlSocket when Vidalia starts, but that's bad
569) because if the user is not using the latest Debian/Ubuntu packages, they may
570) not have disabled Tor's ability to run on boot and will end up with a
571) configuration that is different from what they want. The second best idea
572) we've come up with is for Vidalia to write out a temporary torrc file and
573) ask the user to manually move it to <code>/etc/tor/torrc</code>, but that's
574) bad because users shouldn't have to mess with files directly.  <br /> A
575) person undertaking this project should have prior knowledge of various Linux
576) distributions and their packaging mechanisms as well as some C++ development
577) experience. Previous experience with Qt is helpful, but not required.

578) </li>
579) 
580) 

581) 
582) <!--<li>
583) 
584) <b>Tor/Polipo/Vidalia Auto-Update Framework</b>
585) <br />
586) We're in need of a good authenticated-update framework.
587) Vidalia already has the ability to notice when the user is running an
588) outdated or unrecommended version of Tor, using signed statements inside
589) the Tor directory information. Currently, Vidalia simply pops
590) up a little message box that lets the user know they should manually
591) upgrade. The goal of this project would be to extend Vidalia with the
592) ability to also fetch and install the updated Tor software for the
593) user. We should do the fetches via Tor when possible, but also fall back
594) to direct fetches in a smart way. Time permitting, we would also like
595) to be able to update other
596) applications included in the bundled installers, such as Polipo and
597) Vidalia itself.
598) <br />
599) To complete this project, the student will first need to first investigate
600) the existing auto-update frameworks (e.g., Sparkle on OS X) to evaluate
601) their strengths, weaknesses, security properties, and ability to be
602) integrated into Vidalia. If none are found to be suitable, the student
603) will design their own auto-update framework, document the design, and
604) then discuss the design with other developers to assess any security
605) issues. The student will then implement their framework (or integrate
606) an existing one) and test it.
607) <br />
608) A person undertaking this project should have good C++ development
609) experience. Previous experience with Qt is helpful, but not required. One
610) should also have a good understanding of common security
611) practices, such as package signature verification. Good writing ability
612) is also important for this project, since a vital step of the project
613) will be producing a design document to review and discuss
614) with others prior to implementation.
615) </li>-->

616) <li>

617) <b>Améliorer le processus qualité de Tor: Intégration continue de
618) compilation</b> <br /> Priorité: <i>Moyenne</i> <br /> Effort à fournir:
619) <i>Moyen</i> <br /> Compétences requises: <i>Moyennes</i> <br /> Tuteurs
620) potentiels: <i>Erinn</i> <br /> Il serait très utile d'avoir un processus de
621) compilation automatisée pour Windows et pour les autres plateformes. Le but
622) d'avoir un tel environnement est de s'assurer que Windows ne reste pas à la
623) traîne sur aucun des logiciels employés dans le projet Tor. <br />Buildbot
624) semble être un bon choix car il supporte toutes les plateformes
625) surlesquelles Tor fonctionne. Consultez <a
626) href="http://en.wikipedia.org/wiki/BuildBot">l'article Wikipedia sur
627) buildbot</a>.<br /> Il y a sans doute de meilleures options que la personne
628) désirant gérer cette tâche doit évaluer. Toute personne travaillant sur ce
629) processus de compilation automatique doit avoir de l'expérience ou le désir
630) d'apprendre comment compiler l'ensemble du code source en lien avec Tor à
631) partir de rien. De plus, cette personne doit disposer d'une expérience dans
632) la compilation de logiciels sous l'environnement Windows car c'est le coeur
633) de cible à ne pas rater de ce projet. Ce travail impose d'utiliser le code
634) source de Tor mais uniquement du point de vue compilation et non
635) d'écriture.<br /> Ensuite, nous avons besoin d'automatiser nos tests de
636) performance pour toutes les plateformes. Nous disposons là encore de builbot
637) (sauf sur Windows &mdash; comme indiqué ci-dessus) pour automatiser nos
638) intégrations régulières de code et nos tests de compilation mais nous avons
639) besoin de mettre à jour nos tests de simulation réseau pour les versions les
640) plus récente de Tor. Enfin, nous avons besoin de lancer des tests réseau à
641) la fois sur une seule machine et également à travers plusieurs autres de
642) manière à tester automatiquement les changement de performance avec des
643) rôles différents.

644) </li>
645) 
646) 

647) 
648) <!--<li>
649) 
650) <b>Usability testing of Tor</b>
651) <br />
652) Priority: <i>Medium</i>
653) <br />
654) Effort Level: <i>Medium</i>
655) <br />
656) Skill Level: <i>Low to Medium</i>
657) <br />
658) Likely Mentors: <i>Andrew</i>
659) <br />
660) Especially the browser bundle, ideally amongst our target demographic.
661) That would help a lot in knowing what needs to be done in terms of bug
662) fixes or new features. We get this informally at the moment, but a more
663) structured process would be better.
664) </li>-->

665) <li>

666) <b>An authenticating IRC proxy</b> <br /> Priority: <i>Low</i> <br /> Effort
667) Level: <i>Medium to High</i> <br /> Skill Level: <i>Medium to High</i> <br
668) /> Likely Mentors: <i>Sebastian, Weasel, Roger</i> <br /> The world needs an
669) authenticating irc proxy. As we're periodically reminded from the Penny
670) Arcade web comic, "Internet user + anonymity = jerk". With respect to
671) websites we're actually doing ok, since websites can make their users log in
672) and use other application-level authentication approaches. But IRC servers
673) are much worse off, because most IRC server code is poorly written: hard to
674) maintain, and harder to modify. Many IRC networks now block connections from
675) Tor, and we're basically down to two holdouts (OFTC and Freenode). This
676) state of affairs means that a lot of people around the world are thinking "I
677) told you so" about anonymity online, when in fact the problem is simply lack
678) of technology to make the problem manageable. We need some way to let the
679) IRC networks distinguish which users have developed a reputation as not
680) being jerks, so they can treat the two groups separately. There are some
681) really cool research designs like <a
682) href="http://www.cs.dartmouth.edu/~nymble/">Nymble</a>, which aim to let
683) websites blacklist users without needing to learn who they are.  But Nymble
684) is designed around web interactions. We need to build the glue around the
685) IRC protocol that would let us plug in a project like Nymble (or a simpler
686) one to start, as a proof-of-concept). One way to do that would be to build
687) an IRC proxy that knows how to hear from IRC clients, knows how to talk to
688) IRC servers, and has an additional layer that requires the users to
689) authenticate.  Some work on this has begun by other volunteers, see their
690) progress at <a
691) href="http://github.com/anonirc/orc">http://github.com/anonirc/orc</a>.

692) </li>
693) 
694) <li>

695) <b>Faire fonctionner torsocks/dsocks sur OS X</b> <br /> Priorité:
696) <i>Moyenne</i> <br /> Effort à fournir: <i>Moyen</i> <br /> Compétences
697) requises: <i>Moyennes</i> <br /> Tuteurs potentiels: <i>?</i> <br /> <a
698) href="http://code.google.com/p/torsocks/">Torsocks</a> et <a
699) href="http://code.google.com/p/dsocks/">dsocks</a> sont des wrappers qui
700) fonctionnent avec des applications, en interceptent leurs connexions réseau
701) sortantes et les injectent dans Tor. L'objectif est de gérer les
702) applications qui ne supportent pas les proxy (ou qui ne les supportent pas
703) correctement). Ces wrappers doivent intercepter de nombreux appels
704) systèmes. Ces appels systèmes sous Linux sont complètement différents de
705) ceux de BSD. Ainsi, torsocks fonctionne bien sous Linux, dsocks fonctionne
706) bien sous BSD (bien qu'il soit moins bien maintenu et qu'il puisse rater
707) davantage d'appels systèmes) mais rien ne fonctionne bien sur les deux
708) systèmes. D'abord, il faut patcher dsocks pour qu'il utilise les commandes
709) de <i>mapadress</i> depuis l'interface de contrôle de manière à ne pas
710) perdre trop de temps pendant la résolution qui s'effectue dans Tor avant la
711) connexion. Ensuite, notre script <i>torify</i> doit détecter si tsocks ou
712) dsocks est installé et appelé celui qui est légitime. Cela implique
713) d'unifier l'interface de ces deux wrappers et peut-être de partager du code
714) entre eux ou bien d'en laisser tomber un des deux.

715) </li>
716) 
717) <li>

718) <b>Amener de nouvelles idées !</b> <br />Vous n'aimez aucune de celles qui
719) sont présentées ? Consultez <a
720) href="<gitblob>doc/roadmaps/2008-12-19-roadmap-full.pdf">la feuille de route
721) de développement</a> pour vous donner d'autres idées ou bien essayez
722) simplement Tor, Vidalia et Torbutton pour trouver quelles sont les points à
723) améliorer.  Quelques-unes <a href="<gittree>doc/spec/proposals/">des
724) propositions en cours</a> ont également besoin de développeurs.

725) </li>
726) 
727) </ol>
728) 

729) <a id="OtherCoding"></a>
730) <h2><a class="anchor" href="#OtherCoding">Autres idées de spécifications et de
731) code</a></h2>

732) <ol>

733) <li>Tor relays don't work well on Windows XP. On Windows, Tor uses the standard
734) <tt>select()</tt> system call, which uses space in the non-page pool. This
735) means that a medium sized Tor relay will empty the non-page pool, <a
736) href="https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/WindowsBufferProblems">causing
737) havoc and system crashes</a>. We should probably be using overlapped IO
738) instead. One solution would be to teach <a
739) href="http://www.monkey.org/~provos/libevent/">libevent</a> how to use
740) overlapped IO rather than select() on Windows, and then adapt Tor to the new
741) libevent interface. Christian King made a <a
742) href="https://svn.torproject.org/svn/libevent-urz/trunk/">good start</a> on
743) this in the summer of 2007.</li>

744) 
745) <li>Nous avons besoin maintenant de commencer l'élaboration de notre <a
746) href="<page documentation>#DesignDoc">conception de résistance au
747) blocage</a>. Ceci implique une refonte de la conception, une modification de
748) différents aspects de Tor, une adaptation de <a href="<page
749) vidalia/index>">Vidalia</a> pour qu'il supporte les nouvelles

750) fonctionnalités, et planifier le deploiement.</li>

751) 
752) <li>Nous avons besoin d'un ensemble d'outils flexibles de simulation pour
753) étudier de bout en bout les trafics de confirmation d'attaque. Beaucoups de
754) chercheurs ont conçu des simulateurs ad hoc pour confirmer leurs intuitions
755) comme quoi soit l'attaque marche vraiment bien ou que les défenses
756) fonctionnent. Pouvons nous construire un simulateur qui soit clairement
757) documenté et suffisament ouvert pour que tout le monde sache qu'il donne une
758) réponse raisonnable ? Ceci stimulera un grand nombre de nouvelles
759) recherches. Voyez l'entrée <a href="#Research">suivante</a> sur les
760) confirmations d'attaque pour les détails sur le coté recherche de cette
761) tâche &mdash; qui sait, quand ceci sera fait peut-être pourrez aider en
762) écrivant un rapport ou deux.</li>
763) 
764) <li>Tor 0.1.1.x inclut le support d'accélérateurs matériels de chiffrage via
765) OpenSSL. Cependant, personne ne l'a jamais testé. Est-ce que quelqu'un
766) voudrait se procurer une carte et nous dire ce qu'il en est ?</li>
767) 

768) <li>Faire une analyse de sureté de Tor avec <a

769) href="http://en.wikipedia.org/wiki/Fuzz_testing">du "fuzz"</a>. Déterminer
770) s'il existe déjà de bonnes bibliothèques de fuzz pour ce que nous voulons
771) faire. La célébrité pour celui grâce à qui une nouvelle version pourra voir
772) le jour !</li>
773) 

774) <li>Tor uses TCP for transport and TLS for link encryption. This is nice and
775) simple, but it means all cells on a link are delayed when a single packet
776) gets dropped, and it means we can only reasonably support TCP streams. We
777) have a <a
778) href="https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/TorFAQ#YoushouldtransportallIPpacketsnotjustTCPpackets.">list
779) of reasons why we haven't shifted to UDP transport</a>, but it would be
780) great to see that list get shorter. We also have a proposed <a
781) href="<gitblob>doc/spec/proposals/100-tor-spec-udp.txt">specification for
782) Tor and UDP</a> &mdash; please let us know what's wrong with it.</li>

783) 
784) <li>Nous ne sommes plus très loin d'avoir le support pour IPV6 entre les
785) serveurs de sorties et les adresses finales. Si IPV6 vous tient à cœur,
786) partir de là est sans doute un premier pas.</li>
787) 
788) <li>Nous avons besoin de générer les diagrammes du site web (par exemple les
789) images de "Comment fonctionne Tor ?" sur <a href="<page overview>">la page
790) d'aperçu</a> à partir d'une source de manière à pouvoir les traduire comme
791) du texte UTF-8 plutôt que de les éditer à la main avec Gimp. Nous voudrions
792) intégrer ce processus dans un fichier wml pour faciliter les traductions et
793) regénérer les images en plusieurs langues lorsque nous construisons le site
794) web.</li>
795) 

796) <li>How can we make the various LiveCD/USB systems easier to maintain, improve,
797) and document? One example is <a href="https://amnesia.boum.org/">The
798) (Amnesic) Incognito Live System</a>.

799) </li>

800) 
801) <li>

802) Un autre projet anti-censure est de rendre Tor plus résistant au scans
803) réseaux.  Pour le moment, un attaquant peut identifier <a
804) href="<gitblob>doc/spec/proposals/125-bridges.txt">les passerelles Tor</a>
805) en essayant simplement de se connecter à elles en utilisant le protocole Tor
806) pour vérifier si elles répondent.  Pour régler ce problème, les passerelles
807) pourraient <a href="<svnprojects>design-paper/blocking.html#tth_sEc9.3">agir
808) comme des serveurs webs</a> (HTTP ou HTTPS) lorsqu'elles sont contactées par
809) des outils de scan de port et agir comme des passerelles uniquement lorsque
810) l'utilisateur aura amené une clef spécifique.  Pour commencer, consultez <a
811) href="http://dl.dropbox.com/u/37735/index.html">la thèse et le prototype</a>
812) de Shane Pope.

813) </li>
814) 

815) </ol>
816) 
817) <a id="Research"></a>
818) <h2><a class="anchor" href="#Research">Recherche</a></h2>
819) <ol>

820) <li>"L'attaque par corrélation des trafics aux extrémités": par l'observation
821) des trafics de Alice et Bob, il est possible de <a
822) href="http://freehaven.net/anonbib/#danezis:pet2004">comparer les signatures
823) des trafics et d'en déduire qu'il s'agit du même flux</a>. Jusqu'ici, Tor
824) considère ce type d'attaque comme intrinsèque et donc inévitable. Tout
825) d'abord, est-ce réellement vrai ? Quelle quantité de trafic - et avec quelle
826) distribution - est-elle nécessaire pour que l'adversaire soit certain
827) d'avoir gagné ? Est-ce qu'il existe des scénarios (par exemple avoir un
828) trafic faible) pour ralentir cette attaque ? Est-ce que certains types de
829) remplissage ou de modelage de trafic fonctionnent mieux que d'autres ?</li>
830) <li>On peut relier la question qui vient: Est-ce-que le fait de faire tourner un
831) relais/passerelle offre une protection supplémentaire contre ces attaques
832) basées sur les timings ? Un attaquant externe qui ne peut voir l'intérieur
833) des flux TLS peut-il reconnaître de manière fiable les flux individuels ?
834) Est-ce-que le volume de trafic transféré dégrade cette possibilité ? Que
835) faire si le relais du client retarde délibérément le trafic montant pour
836) former une queue pouvant être utilisée pour mimer les timings du trafic
837) descendant du client pour le faire passer pour du trafic egalement relayé ?
838) Cette queue identique pourrait être également utilisée pour masquer les
839) temps du trafic montant du client à l'aide des techniques dites <a
840) href="http://www.freehaven.net/anonbib/#ShWa-Timing06">adaptative
841) padding</a> sans avoir besoin de trafic supplémentaire. Est-ce-qu'un tel
842) entrelacement du trafic montant du client osbcurcit les temps pour des
843) attaquants externes ? Les stratégies doivent-elles être ajustées pour les
844) liens symétriques ? Ou bien est-ce plus évident que pour les liens
845) symétriques ?</li>
846) <li><a href="http://www.cl.cam.ac.uk/~sjm217/projects/anon/#torta">L'attaque
847) d'Oakland 05</a> par Repeat Murdoch et Danezi sur le réseau Tor
848) acutel. Essayez de comprendre pourquoi elle fonctionne bien sur certains
849) noeuds et pas sur les autres. (Ma théorie est que les noeuds rapides avec
850) davantage de capacité résistent mieux à l'attaque). On peut expérimenter
851) cette attaque avec la gestion des options RelayBandwithRate et
852) RelayBandwithBurst pour faire tourner un relais utilisé comme client tout en
853) relayant le traffic de l'attaquant: si nous limitons fortement le
854) RelayBandwithRate, est-ce-que l'attaque est plus difficile ? Quel est le
855) ratio correct de RelayBandwithRate par rapport à la capacité ? D'ailleurs,
856) est-ce-que le ratio joue un rôle dans cette attaque ? Pendant qu'on y est,
857) est-ce-qu'un plus grand nombre de relais candidats augmente le taux de faux
858) positifs ou une autre complexité dans l'attaque ? (Le réseau Tor est
859) maintenant deux fois plus étendu qu'il ne l'était au moment de la rédaction
860) de leur papier). Prenez également le temps de consulter le document <a
861) href="http://freehaven.net/anonbib/#clog-the-queue">Don't Clog the
862) Queue</a>.</li>
863) <li>L'attaque "routing zones": la majorité de ce qui est écrit sur Tor modélise
864) le chemin réseau entre Alice et son noeud d'entrée (et entre Bob et le noeud
865) de sortie) comme un simple lien sur un graphe. En pratique, le chemin
866) traverse de nombreux systèmes automomes (SA) et <a
867) href="http://freehaven.net/anonbib/#feamster:wpes2004">il n'est pas rare que
868) le même SA apparaissent à la fois sur le chemin d'entrée comme sur le chemin
869) de retoure</a>.  Malheureusement, pour être sûr de prédire si un quartet
870) Alice, noeud d'entrée, noeud de sortie, Bob sera dangereux, il faut
871) télécharger entièrement une zone de routage Internet et effectuer de
872) couteuses opérations dessus. Existe-t-il des approximations pratiques comme
873) éviter les adresse IP situées dans le même réseau /8 ?</li>
874) <li>D'autres points de recherche se pose la question de savoir, d'un point de
875) vue diversité géographique, s'il est mieux d'avoir un circuit efficace ou de
876) choisir un circuit au hasard. Consultez <a
877) href="http://swiki.cc.gatech.edu:8080/ugResearch/uploads/7/ImprovingTor.pdf">les
878) travaux de Stephen Rollyson</a> qui expliquent comment éviter les choix
879) particulièrement inefficaces sans "trop" compromettre l'anonymat. Cet angle
880) d'attaque a besoin d'être creusé et travaillé mais il a l'air très
881) prometteur.</li>
882) <li>Tor ne fonctionne pas bien lorsque les relais disposent d'une bande passante
883) asymétrique (ex: câble ou ADSL). Etant donné que Tor sépare les connexions
884) entre chaque hop, si les octets entrants arrivent trop vite et que du coup,
885) les octets sortants arrivent plus lentement, les mécanismes de push-back de
886) TCP ne retournent pas cette information aux flux entrants.  Peut-être que
887) Tor devrait détecter les rejets de paquets sortants et réguler les flux
888) entrants de lui-même ? J'imagine un schéma d'ouverture/fermeture où l'on
889) récupère un taux de transfert limite donné qu'on incrémente lentement
890) jusqu'à perdre des paquets, moment où l'on diminuerait le taux, etc... Nous
891) avons besoin de quelqu'un disposant de sérieuses compétences réseau pour
892) simuler cela et apporter son aide pour la mise en place de ces
893) fonctionnalités. Nous avons besoin de comprendre l'importance de la
894) dégradation des performances et de l'utiliser comme élément moteur en vue de
895) reconsidérer le transport par UDP.</li>
896) <li>Le contrôle de la congestion est un sujet proche. Est-ce-que notre
897) spécification permet de gérer les fortes charges ? Peut-être devrions-nous
898) expérimenter des fenêtres de tailles variables plutôt que des fenêtres fixes
899) ? Cela semble prometteur dans <a
900) href="http://www.psc.edu/networking/projects/hpn-ssh/theory.php">cette
901) expérimentation autour de ssh</a>. Nous avons besoin de mesurer, de corriger
902) et peut-être de refondre quelquechose si les résultats s'avèrent bons.</li>

903) <li>Nos objectifs de résistance à la censure incluent l'impossibilité pour un
904) attaquant qui observe le trafic Tor de <a
905) href="<svnprojects>design-paper/blocking.html#sec:network-fingerprint">le
906) distinguer d'un trafic SSL normal</a>. Néanmoins, nous ne pouvons pas
907) recréer une stéganographie parfaite tout en restant utilisable mais, dans un
908) premier temps, nous aimerions pouvoir bloquer toute attaque qui pourrait
909) réussir en observant quelques paquets seulement. Une des attaques qu'il nous
910) reste à examiner est basée sur le fait que les paquets Tor font 512 octets
911) et que par conséquence, les paquets du trafic réseau sont également des
912) multiples de 512 octets.  En quoi le fait de modifier les enregistrements
913) TLS et leur en-tête pourrait brouiller ce trafic ? Différentes stratégies de
914) fermeture de tampon dans Tor peuvent-elles avoir un impact sur ce sujet ?
915) Est-ce-qu'un peu de remplissage ferait l'affaire ou bien est-ce-une attaque
916) que nous pouvons accepter ?</li>

917) <li>Les circuits Tor sont construit pas à pas. Ainsi, il est théoriquement
918) possible de faire sortir des flux à partir du second pas, d'autres à partir
919) du troisième et ainsi de suite. Cela semble une alternative séduisante car
920) elle permet de passer outre la limite en sortie de chaque relais. Mais si
921) nous voulons que chaque flux soit sécurisé, le chemin "le plus court" doit
922) obligatoirement avoir au moins 3 pas selon notre logique actuelle. Nous
923) devons examiner cette alternative sur l'aspect performance en balance de la
924) sécurité</li>
925) <li>Il n'est pas si difficile de faire du dénis de service sur les relais Tor ou
926) les autorités d'annuaire. Les clients forment-ils la meilleure réponse ?
927) Quelles sont les autres approches possibles ? Il serait bien qu'elles soient
928) compatibles avec le protocole Tor actuel.</li>
929) <li>Les programmes tels que <a href="<page torbutton/index>">Torbutton</a> ont
930) pour objectif de masquer le champ UserAgent de votre navigateur web en le
931) replaçant par une réponse uniforme pour tous les utilisateurs Tor. Ainsi, un
932) attaquant ne peut rien déduire de vous en regardant cet en-tête. Il essaye
933) de récupérer une chaîne communément utilisée par les utilisateurs
934) non-Tor. Première question: comment révélons-nous l'utilisation de Tor en
935) mettant à jour régulièrement ce champ ? Si nous le mettons à jour trop
936) souvent, nous supprimons nous-même de l'anonymat. Si nous ne le mettons pas
937) à jour souvent alors tous les utilisateurs de Tor se dévoileront car leur
938) navigateur web indiquera qu'ils utilisent tous une assez vieille version de
939) Firefox. La réponse à la question dépend certainement des versions de
940) Firefox utilisés dans la nature. Deuxième question: régulièrement, les gens
941) nous demande de modifier le champ UserAgent selon un cycle de N chaînes de
942) caractères différentes plutôt que de mettre toujours la même. Est-ce-que
943) cette approche est vraiment utile, malfaisante ou neutre ? A prendre en
944) considération: les cookies et le fait de reconnaître les utilisateurs de
945) Torbutton par leur rotation de UserAgents; les sites webs malicieux qui
946) n'attaque qu'un seul type de navigateur web; la réponse à la question un
947) impact la réponse à la question deux.
948) </li>
949) <li>Actuellement, les clients Tor réutilisent un circuit donné pendant les dix
950) minutes qui suivent sa première utilisation. L'objectif est d'éviter de
951) surcharger le réseau avec des opérations de circuits étendus et également
952) pour éviter que les clients utilisent le même circuit pendant trop longtemps
953) ce qui permettrait au noeud de sortie de les profiler. Hélas, dix minutes
954) est une période de temps sans doute trop longue, spécialement si des
955) connexions vers des protocoles différents (ex messagerie instantanée et
956) navigation internet) utilisent le même circuit. Si nous continuons à fixer
957) le nombre global de la taille des circuits que le réseau a besoin d'établir,
958) existe-t-il de meilleurs et/ou de plus sûrs moyens pour les clients
959) d'affecter des flux aux circuits ou bien pour que les clients construisent
960) des circuits préemptifs ? Peut-être que cet élément de recherche doit
961) commencer par récupérer des traces sur les connexions typiques que les
962) clients initient afin de disposer de données réalistes ?
963) </li>
964) <li>De combien de passerelles avez-vous besoin pour maintenir un bon niveau
965) d'accessibilité ? Nous devrions mesurer le contenu de nos passerelles. Si ce
966) contenu est bien fourni, existe-t-il des moyens de faire en sorte que les
967) utilisateurs de passerelles restent connectés plus longtemps ?

968) </li>

969) </ol>
970) 

971) <p>

972) <a href="<page contact>">Contactez-nous</a> si vous avez avancé sur ces
973) points !

974) </p>

975) 

976)   </div>

977) 

978)