tor-webwml.git

1) 
2) 
3) 
4) 
5) 
6) 
7) ## translation metadata
8) # Revision: $Revision$
9) # Translation-Priority: 3-low
10) #include "head.wmi" TITLE="Torbutton FAQ" CHARSET="UTF-8"
11) <div class="main-column">
12) 
13) 
14) 
15) <!-- PUT CONTENT AFTER THIS TAG -->
16) <h2>FAQ Torbutton</h2>
17) <hr />
18) 
19) <h3>Questions</h3>
20) <br />
21) <ul>
22) <li><a href="<page torbutton/faq>#nojavascript">Lorsque j'active Tor, les sites
23) qui utilisent javascript ne fonctionnent plus. Pourquoi ?</a></li>
24) <li><a href="<page torbutton/faq>#noreloads">Je ne peux pas cliquer sur les
25) liens ni recharger la page une fois que j'ai activé Tor ! Pourquoi ?</a></li>
26) <li><a href="<page torbutton/faq>#noflash">Je ne peux pas voir les vidéos sur
27) Youtube et les autres sites basés sur Flash. Pourquoi ?</a></li>
28) <li><a href="<page torbutton/faq>#oldtorbutton">Torbutton permet de faire
29) beaucoup de choses mais je trouve que certaines sont génantes à
30) utiliser. Puis-je utiliser l'ancienne version ?</a></li>
31) <li><a href="<page torbutton/faq>#weirdstate">Mon navigateur web est dans un
32) état instable et plus rien ne fonctionne correctement !</a></li>
33) <li><a href="<page torbutton/faq>#noautocomplete">Lorsque j'utilise Tor, Firefox
34) ne remplit plus automatiquement les champs de mot de passe et de boîte de
35) recherche. Pourquoi ?</a></li>
36) <li><a href="<page torbutton/faq>#thunderbird">Qu'en-est-il du support de
37) Thunderbird ? Je vois une page mais s'agit-il de la bonne version ?</a></li>
38) <li><a href="<page torbutton/faq>#extensionconflicts">Quelles extensions de
39) Firefox devrais-je éviter d'utiliser ?</a></li>
40) <li><a href="<page torbutton/faq>#recommendedextensions">Quelles sont les
41) extensions Firefox recommandées ?</a></li>
42) <li><a href="<page torbutton/faq>#securityissues">Existe-t-il d'autres problèmes
43) que je dois connaître ?</a></li>
44) </ul>
45) <br /> <a id="nojavascript"></a> <strong><a class="anchor"
46) href="#nojavascript">Lorsque j'active Tor, les sites qui utilisent
47) javascript ne fonctionnent plus. Pourquoi ?</a></strong>
48) 
49) <p>
50) Javascript peut par exemple attendre que vous ayez désactivé Tor avant de
51) contacter son site source, révélant ainsi votre adresse IP. C'est pourquoi
52) Torbutton doit désactiver Javascript, les tags Meta-Refresh et certaines
53) fonctionnalités de CSS lorsque Tor est actif. Ces fonctionnalités sont
54) réactivées lorsque Torbutton est arrêté. Dans certains cas (particulièrement
55) avec Javascript et CSS), il est impossible de gérer les erreurs résultant de
56) ces blocages et la page est alors impossible à afficher. Malheureusement, la
57) seule chose que vous puissiez faire (tout en masquant votre adresse IP) est
58) de recharger la page que vous consultiez avant d'activer Tor ou vous assurez
59) que vous avez terminé votre travail avant de changer l'état de Tor.
60) </p>
61) 
62) <a id="noreloads"></a> <strong><a class="anchor" href="#noreloads">Je ne
63) peux pas cliquer sur les liens ni recharger la page une fois que j'ai activé
64) Tor ! Pourquoi ?</a></strong>
65) 
66) <p>
67) En raison d'un <a
68) href="https://bugzilla.mozilla.org/show_bug.cgi?id=409737">bug (409737) de
69) Firefox</a>, des pages peuvent encore ouvrir des popups et lancer des
70) redirections et des accès à l'historique par Javascript après que Tor ait
71) été activé. Ces popups et redirections peuvent être bloqués mais ils ne sont
72) malheureusement pas différenciés des interactions normales avec la page

73) (tels que les clics sur les liens, l'ouverture dans de nouveaux

74) onglets/fenêtres ou l'utilisation des boutons d'historique. Du coup, ils
75) sont neutralisés quand même. Une fois que le bug de Firefox sera résolu, ce
76) degré d'isolation deviendra optionnel (réservé aux personnes désirant éviter
77) de cliquer accidentellement sur des liens et de laisser remonter des
78) informations via les referrers). Un contournement est de faire un clic-droit
79) sur le lien et de l'ouvrir dans un nouvel onglet ou une nouvelle
80) fenêtre. L'onglet ou la fenêtre ne va pas s'ouvrir automatiquement mais vous
81) pourrez valider l'entrée de la barre URL ce qui déclenchera le chargement
82) . Valider l'entrée de la barre URL rechargera également la page sans avoir à
83) cliquer sur le bouton de rechargement.
84) </p>
85) 
86) <a id="noflash"></a> <strong><a class="anchor" href="#noflash">Je ne peux
87) pas voir les vidéos sur Youtube et les autres sites basés sur
88) Flash. Pourquoi ?</a></strong>
89) 
90) <p>
91) 

92) YouTube and similar sites require third party browser plugins such as
93) Flash.  Plugins operate independently from Firefox and can perform activity
94) on your computer that ruins your anonymity. This includes but is not limited
95) to: <a href="http://decloak.net">completely disregarding proxy settings</a>,
96) querying your <a
97) href="http://forums.sun.com/thread.jspa?threadID=5162138&amp;messageID=9618376">local
98) IP address</a>, and <a
99) href="http://epic.org/privacy/cookies/flash.html">storing their own
100) cookies</a>. It is possible to use a LiveCD or VMWare-based solution such as
101) <a href="<page torvm/index>">Tor VM</a> or <a
102) href="https://amnesia.boum.org/">The (Amnesic) Incognito Live System</a>
103) that creates a secure, transparent proxy to protect you from proxy bypass,
104) however issues with local IP address discovery and Flash cookies still
105) remain.  </p>

106) 
107) <p>
108) 

109) If you are not concerned about being tracked by these sites (and sites that
110) try to unmask you by pretending to be them), and are unconcerned about your
111) local censors potentially noticing you visit them, you can enable plugins by
112) going into the Torbutton Preferences->Security Settings->Dynamic
113) Content tab and unchecking "Disable plugins during Tor usage" box. If you do
114) this without Tor VM, The (Amnesic) Incognito Live System or appropriate
115) firewall rules, we strongly suggest you at least use <a
116) href="https://addons.mozilla.org/en-US/firefox/addon/722">NoScript</a> to <a
117) href="http://noscript.net/features#contentblocking">block plugins</a>. You
118) do not need to use the NoScript per-domain permissions if you check the
119) <b>Apply these restrictions to trusted sites too</b> option under the
120) NoScript Plugins preference tab. In fact, with this setting you can even
121) have NoScript allow Javascript globally, but still block all plugins until
122) you click on their placeholders in a page. We also recommend <a

123) href="https://addons.mozilla.org/en-US/firefox/addon/6623">Better

124) Privacy</a> in this case to help you clear your Flash cookies.

125) 
126) </p>
127) 
128) <a id="oldtorbutton"></a> <strong><a class="anchor"
129) href="#oldtorbutton">Torbutton permet de faire beaucoup de choses mais je
130) trouve que certaines sont génantes à utiliser. Puis-je utiliser l'ancienne
131) version ?</a></strong>
132) 
133) <p>
134) 
135) <b>Non.</b> L'utilisation d'une version ancienne ou d'un autre changeur de
136) proxy (incluant FoxyProxy -- voir ci-dessous) sans Torbutton est vivement
137) découragée. L'utilisation d'un changeur de proxy non reconnu est très
138) mauvais pour la sécurité et vous fera perdre votre temps.  <b>N'utilisez pas
139) Tor</b> et vous disposerez du même niveau de sécurité.  Pour plus
140) d'informations sur les types d'attaques auxquelles vous êtes exposé avec une
141) solution maison, merci de consulter <a
142) href="design/index.html#adversary">The Torbutton Adversary Model</a> et en
143) particulier la sous-section traitant des <a
144) href="design/index.html#attacks">Attaques potentielles</a>. S'il existe des
145) fonctionnalités spécifiques de Torbutton que vous n'aimez pas, merci
146) d'ajouter un bug sur <a
147) href="https://bugs.torproject.org/flyspray/index.php?tasks=all&amp;project=5">le

148) bug tracker</a>. Si vous pensez disposer de suffisamment de protection pour

149) ces cas spécifiques, sachez que la plupart des options de sécurités de
150) Torbutton peuvent être désactivées par les préférences.
151) 
152) </p>
153) 
154) <a id="weirdstate"></a> <strong><a class="anchor" href="#weirdstate">Mon
155) navigateur web est dans un état instable et plus rien ne fonctionne
156) correctement !</a></strong>
157) 
158) <p>
159) Essayez de désactiver Tor en cliquant sur le bouton et d'ouvrir une nouvelle
160) fenêtre. Si ça ne corrige pas le problème, allez dans la page des
161) préférences et cliquer sur 'Restaurer la configuration par défaut'. Cela

162) devrait reconfigurer l'extension et Firefox dans une configuration

163) fonctionnelle.  Si vous pouvez reproduire ces problèmes qui perturbent le
164) fonctionnement de Firefox, merci de nous envoyer les détails dans <a
165) href="https://bugs.torproject.org/flyspray/index.php?tasks=all&amp;project=5">le
166) bug tracker</a>.
167) </p>
168) 
169) <a id="noautocomplete"></a> <strong><a class="anchor"
170) href="#noautocomplete">Lorsque j'utilise Tor, Firefox ne remplit plus
171) automatiquement les champs de mot de passe et de boîte de
172) recherche. Pourquoi ?</a></strong>
173) 
174) <p>
175) Ce problème est lié à l'option "<b>Bloquer les écritures d'historique
176) pendant l'utilisation de Tor</b>". Si vous avez activé cette option au cours

177) de la configuration, toutes les fonctionnalités de pré-remplissage de

178) formulaires (lecture et écriture) seront désactivées. Si cela vous ennuie,
179) vous pouvez désactiver cette option. Pour éviter les attaques de divulgation
180) d'historique lors des utilisations sans Tor, il est recommandé de désactiver
181) la lecture de l'historique non Tor si vous permettez l'écriture d'historique
182) pendant l'utilisation de Tor.
183) </p>
184) 
185) <a id="thunderbird"></a> <strong><a class="anchor"
186) href="#thunderbird">Qu'en-est-il du support de Thunderbird ? Je vois une
187) page mais s'agit-il de la bonne version ?</a></strong>
188) 
189) <p>
190) Aux débuts de Thunderbird (version 1.0), Torbutton lui fournissait un

191) support basique de changement de proxy. Néanmoins, ce support a été supprimé

192) car il n'a pas fait l'objet d'une analyse de sécurité. Ma page d'outils de

193) développement sur addons.mozilla.org n'évoque explicitement que le support
194) de Firefox et j'ignore pourquoi ils n'ont pas supprimé la référence à

195) Thunderbird.  Je n'utilise pas Thunderbird et ne dispose malheureusement pas
196) du temps pour analyser les failles de sécurité qu'implique le changement de
197) proxy dans cette application. Cette application doit souffrir du même genre
198) (mais pas des mêmes problèmes) de fuite de proxy par les emails en HTML, les
199) images incorporées, javascript, les extensions et l'accès automatique au
200) réseau. Ma recommandation est de créer un profil Thunderbird spécifique pour
201) Tor et de l'utiliser directement au lieu d'essayer d'activer ou non la
202) configuration de proxy. Mais si vous désirez réellement aller plus vite et
203) ne pas prendre garde à votre IP, vous pouvez utiliser un autre basculeur de
204) proxy tel que ProxyButton, SwitchProxy ou FoxyProxy (si un de ceux-ci
205) supporte Thunderbird).
206) </p>
207) 
208) <a id="extensionconflicts"></a> <strong><a class="anchor"
209) href="#extensionconflicts">Quelles extensions de Firefox devrais-je éviter
210) d'utiliser ?</a></strong>
211) 
212) <p>
213) Cette liste est limitée. Il existe des milliers d'extension Firefox: faire
214) une liste exhaustive de celles qui se révèlent mauvaises pour l'anonymat est
215) pratiquement impossible. Toutefois, voici quelques exemples qui devraient
216) vous donner une idée de quelques comportements dangereux.
217) </p>
218) 
219) <ol>
220)  <li>StumbleUpon, et al
221)  <p>
222)  Ces extensions envoient aux serveurs stumbleupon de nombreuses informations
223) sur les sites web que vous visitez. Elles sont corrélées avec un identifiant
224) unique ce qui est terrible du point de vue anonymat.  Plus généralement, les
225) extensions qui ont besoin que vous vous enregistriez ou les extensions qui
226) fournissent de l'information sur les sites web que vous visitez sont
227) suspectes.
228)  </p></li>
229)  <li>FoxyProxy
230) <p>
231) Bien que FoxyProxy soit une bonne idée en théorie, il est en pratique
232) impossible de le configurer de manière sécurisée pour l'utilisation de Tor
233) sans Torbutton. Comme tous les projets originaux de plugins de proxy, les
234) risques les plus importants sont <a
235) href="http://www.metasploit.com/research/projects/decloak/">les fuites dans
236) le plugin</a> et <a href="http://ha.ckers.org/weird/CSS-history.cgi">la
237) divulgation d'historique</a> suivis par la capture de proxy dans les noeuds
238) de sorties et le suivi par les serveurs de pub (voir le <a
239) href="design/index.html#adversary">Torbutton Adversary Model</a> pour plus
240) d'informations). Toutefois, lorsque Torbutton est installé en tandem et
241) toujours activé, il est possible de configurer FoxyProxy de manière
242) sécurisée (bien que ce ne soit pas aisé). Étant donné que le mode 'motifs'
243) de FoxyProxy s'applique uniquement à des urls bien précises et non à tout
244) l'onglet, configurer FoxyProxy pour contacter des sites spécifiques par Tor
245) permettra quand même aux serveurs de pub (qui ne seront pas dans vos
246) filtres) de découvrir votre véritable adresse IP. Pire, lorsque les sites
247) utilisent des outils de statistiques déconnectés comme Google Analytics,
248) votre adresse IP sera également dans leurs logs. Des noeuds de sorties
249) malicieux peuvent également coopérer avec des sites pour injecter des images
250) dans les pages qui contourneront vos filtres. Configurer FoxyProxy pour
251) envoyer uniquement certaines URLs sans passer par Tor est bien plus
252) sécurisant de ce point de vue mais soyez attentifs aux filtres que vous
253) mettez en place. Par exemple, configurer tout le traffic *google* à passer
254) en dehors de Tor vous fera atterrir dans tous les logs de l'ensemble des
255) sites qui utilisent Google Analytics ! Consultez <a
256) href="http://foxyproxy.mozdev.org/faq.html#privacy-01">cette question</a>
257) sur la FAQ de FoxyProxy pour plus d'information.
258)  </p></li>
259) </ol>
260) 
261) <a id="recommendedextensions"></a> <strong><a class="anchor"
262) href="#recommendedextensions">Quelles sont les extensions Firefox
263) recommandées ?</a></strong>
264) <ol>
265)  <li><a href="https://addons.mozilla.org/firefox/addon/953">RefControl</a>
266) 	<p>
267) Comme mentionné au dessus, cette extension contrôle plus finement
268) l'usurpation du referer que ne le fait Torbutton. Elle devrait casser moins
269) de sites que l'option d'usurpation du referer de Torbutton.</p></li>
270) 
271)  <li><a href="https://addons.mozilla.org/firefox/addon/1474">SafeCache</a>
272) <p>
273) Si vous utilisez Tor en quasi-permanence et que vous le désactivez rarement,
274) vous voudrez sans doute installer cette application qui minimise la capacité

275) de certains sites à stocker les identifiants ayant une longue durée de vie

276) dans votre cache. Cette extension applique la même politique d'origine au
277) cache de manière à ce que les éléments récupérés depuis le cache uniquement
278) s'ils proviennent du même domaine que le document en cours de visualisation.
279) </p></li>
280) 
281)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/6623">Better
282) Privacy</a>
283)  <p>
284) 
285) Better Privacy est une excellent extension qui vous protège des cookies des
286) applications Flash qui sont souvent persistants et non effaçables par
287) Firefox. Flash et les autres plugins sont désactivés par défaut par
288) Torbutton mais si vous désirez améliorer la protection de votre vie privée,
289) vous pouvez utiliser cette extension pour inspecter et supprimer
290) automatiquement les cookies Flash créés lorsque vous n'utilisez pas Tor.
291) 
292)  </p>
293)  </li>
294)  <li><a href="https://addons.mozilla.org/firefox/addon/1865">AdBlock Plus</a>
295)  <p>
296) 
297) AdBlock Plus est une excellente extension qui supprime les publicité sur le
298) web (qui sont génantes, invasives pour tout ce qui touche à la vie privée et
299) qui peuvent également <a
300) href="http://www.wired.com/techbiz/media/news/2007/11/doubleclick">distribuer

301) des malwares</a>). Elle fournit un système <a

302) href="http://adblockplus.org/en/subscriptions">d'abonnements</a> vers des
303) listes continuellement mises à jour pour parer les efforts des réseaux de
304) publicité à passer à travers ces filtres. Je recommande l'abonnement à la
305) combinaison EasyPrivacy+EasyList dans la section Divers de la page
306) d'abonnement.
307) 
308)  </p>
309) </li> 
310) <li><a href="https://addons.mozilla.org/firefox/addon/82">Cookie Culler</a>
311)  <p>
312) 
313) Cookie Culler est une extension utile qui vous donne un accès rapide au
314) gestionnaire de cookies de Firefox. Il permet également de protéger certains
315) cookies de la suppression mais cette fonctionnalité ne fonctionne pas bien
316) avec Torbutton. Kory Kirk travaille à résoudre ce problème pendant le Google
317) Summer of Code 2009.
318) 
319)  </p>
320)  </li>
321) 
322)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/722">NoScript</a>
323)  <p>
324)  Torbutton atténue pour le moment toutes les failles de sécurité connues sous
325) Javascript.  Toutefois, si vous vous sentez concerné par les "exploits"
326) Javascript contre votre navigateur ou contre les sites web sur lesquels vous
327) vous identifiez, vous pouvez utiliser NoScript. Il permet d'activer
328) Javascript uniquement pour certains sites web et propose des mécanismes qui
329) forcent l'utilisation d'urls HTTPS pour les sites qui ont <a
330) href="http://fscked.org/category/tags/insecurecookies">des cookies non
331) sécurisés</a>.<br> Il est toutefois difficile de le configurer pour que la
332) plupart des sites fonctionnent correctement. En particulier, vous devez vous
333) assurer que vous n'avez pas retiré le site addons.mozilla.org de la liste
334) blanche Javascript car les extensions sont téléchargées par http et
335) vérifiées par Javascript à partir de la page https.
336) 
337)  </p></li>
338)  <li><a href="https://addons.mozilla.org/en-US/firefox/addon/9727/">Request
339) Policy</a>
340)  <p>
341) 
342) Request Policy est proche de NoScript: il impose que vous configuriez quels
343) sites sont autorisés à charger du contenu depuis d'autres domaines. Il est
344) assez complexe à configurer pour les nouveaux utilisateurs mais il protège
345) très bien des publicités, du contenu injecté et des requêtes cross-site
346) forgery.
347) 
348)  </p>
349)  </li>
350) 
351) </ol>
352) 
353) <a id="securityissues"></a> <strong><a class="anchor"
354) href="#securityissues">Existe-t-il d'autres problèmes que je dois connaître
355) ?</a></strong>
356) 
357) <p>
358) Il existe quelques failles de sécurité sur Torbutton (qui sont toutes dues à
359) des <a href="design/index.html#FirefoxBugs">bugs de sécurité de
360) Firefox</a>). La plus importante en ce qui concerne l'anonymat est qu'il est
361) possible d'utiliser du javascript pour encapsuler l'objet Date afin qu'il
362) remonte votre fuseau horaire dans Firefox 2 et le code de dissimulation du
363) fuseau horaire ne fonctionne pas du tout sous Firefox 3. Nous travaillons en
364) lien avec l'équipe de Firefox pour résoudre l'un des bugs, <a
365) href="https://bugzilla.mozilla.org/show_bug.cgi?id=392274">Bug 399274</a> ou
366) <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=419598">Bug 419598</a>
367) pour régler ce problème. Dans le même temps, il est possible de fixer la

368) variable d'environnement <b>TZ</b> à <b>UTC</b> pour faire en sorte que le

369) navigateur utilise UTC comme fuseau horaire. Sous Linux, vous pouvez ajouter
370) <b>export TZ=UTC</b> au script /usr/bin/firefox ou éditer le fichier bashrc
371) de votre système de la même manière. Sous Windows, vous pouvez soit régler
372) une <a href="http://support.microsoft.com/kb/310519">variable
373) d'environnement utilisateur ou système</a> pour TZ via les propriétés de Mon
374) Poste de travail. Sous MacOS, la situation est <a
375) href="http://developer.apple.com/documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/EnvironmentVars.html#//apple_ref/doc/uid/20002093-BCIJIJBH">beaucoup
376) plus compliquée</a> malheureusement.
377) </p>
378) 
379) <p>
380) De plus, les lecteurs RSS tels que Firefox Livemarks effectuent parfois des
381) rafraîchissements périodiques. A cause du <a
382) href="https://bugzilla.mozilla.org/show_bug.cgi?id=436250">Bug Firefox
383) 436250</a>, il n'y a aucun moyen de désactiver ces mises à jour Livemark
384) lorsque Tor est actif. Cela peut représenter un vrai problème si vous avez
385) beaucoup d'urls Livemark qui fournissent de l'information sur votre
386) identité.
387) </p>
388) 
389)   </div>
390) 
391) 
392)