git.schokokeks.org
Repositories
Help
Report an Issue
tor-webwml.git
Code
Commits
Branches
Tags
Suche
Strukturansicht:
4ec93edb6
Branches
Tags
bridges
docs-debian
jobs
master
press-clips
tor-webwml.git
fr
faq-abuse.wml
Add 8118's faq-abuse.wml
Peter Palfrader
commited
4ec93edb6
at 2006-10-30 23:51:45
faq-abuse.wml
Blame
History
Raw
## translation metadata # Based-On-Revision: 8460 # Last-Translator: eightone_18@yahoo.co.uk #include "head.wmi" TITLE="FAQ utilisation abusive pour op�rateurs de serveurs" <div class="main-column"> <!-- PUT CONTENT AFTER THIS TAG --> <h2>FAQ sur l'utilisation abusive destin�es aux op�rateurs de serveurs Tor</h2> <hr /> <a id="WhatAboutCriminals"></a> <h3><a class="anchor" href="#WhatAboutCriminals">Tor permet-il aux criminels d'accomplir leurs forfaits ?</a></h3> <p>Les criminels peuvent d�j� accomplir leurs mauvaises actions. D�termin�s � briser les lois, ils disposent d�j� de nombreuses options qui peuvent leur procurer un <em>meilleur</em> anonymat que ne le peut Tor. Ils peuvent voler des t�l�phones portables, les utiliser, puis les jeter dans un caniveau ; ils peuvent pirater des ordinateurs en Cor�e ou au Br�sil et les utiliser pour lancer leurs attaques.Ils peuvent utiliser des logiciels espions, des virus, et d'autres techniques, pour prendre le contr�le, au sens propre, de millions de machines Windows dans le monde.</p> <p>Tor a pour vocation d'apporter la s�curit� des communications Internet � des gens ordinaires respectueux des lois. Pour le moment, seuls les criminels b�n�ficient de confidentialit�, et nous devons corriger cela. </p> <p>Certains qui militent en faveur de la confidentialit� expliquent qu'il s'agit juste d'une question d'�change - accepter les mauvais usages pour pouvoir avoir les bons -, mais il y a plus que cela. Les criminels et autres personnes mal intentionn�es poss�dent la motivation d'apprendre � obtenir un bon anonymat, et beaucoup sont pr�ts � payer cher pour l'obtenir. �tre en mesure de voler l'identit� d'innocentes victimes (usurpation d'identit�) et de la r�utiliser leur rend la t�che encore plus facile. D'un autre c�t�, les gens ordinaires n'ont ni le temps, ni l'argent, d'investir dans l'�tude de comment obtenir la s�curit� de leurs communications sur Internet. C'est le plus mauvais des mondes possibles. </p> <p>Donc, oui, en th�orie, les criminels pourraient utiliser Tor, mais ils ont d�j� de meilleures solutions. Et il semble improbable qu'�liminer Tor de la surface du monde les arr�teraient dans leurs entreprises criminelles. En m�me temps, Tor, et d'autres mesures de protection des donn�es priv�es, peuvent combattre l'usurpation d'identit�, la traque physique des personnes, etc.</p> <!-- <a id="Pervasive"></a> <h3><a class="anchor" href="#Pervasive">If the whole world starts using Tor, won't civilization collapse?</a></h3> --> <a id="DDoS"></a> <h3><a class="anchor" href="#DDoS">Qu'en est-il des attaques par d�ni de service distribu� ?</a></h3> <p>Les attaques par d�ni de service distribu� (ou d�ni de service r�parti, en anglais : DDoS - Distributed Denial of Service) supposent, globalement, de disposer d'un groupe de milliers d'ordinateurs lan�ant des requ�tes vers une machine victime de fa�on simultan�e. Le but �tant de saturer la bande passante de la machine vis�e, ces ordinateurs envoient g�n�ralement des paquets UDP, car ceux-ci ne n�cessitent ni proc�dures d'authentification, ni coordination.</p> <p>Mais, Tor ne transportant que des flux TCP correctement configur�s, et non des paquets IP, on ne peut pas utiliser Tor pour envoyer des paquets UDP. De m�me, Tor n'autorise pas les attaques par amplification de bande passante : vous devez envoyer un octet pour chaque octet que Tor enverra vers la destination que vous avez choisie. Donc, d'une fa�on g�n�rale, des attaquants qui disposeraient d'une bande passante suffisante pour une attaque DDoS efficace peuvent le faire tout aussi bien sans l'aide de Tor.</p> <a id="WhatAboutSpammers"></a> <h3><a class="anchor" href="#WhatAboutSpammers">Et les spammeurs ?</a></h3> <p>Premier point, les r�gles par d�faut pour les nœuds de sortie de Tor rejettent tout trafic sortant du port 25 (SMTP) : envoyer du spam via Tor, par d�faut, ne va donc pas fonctionner,. Il est possible que certains op�rateurs de serveurs ouvrent le port 25 sur leur serveur, ce qui autoriserait l'envoi de mails. Mais ces op�rateurs peuvent tout aussi bien installer un serveur relai de mail ouvert, compl�tement ind�pendant de Tor. En r�sum�, Tor n'est pas tr�s utile au spammeur, parce que presque tous les serveurs Tor refusent d'acheminer les mails sortants. </p> <p>Bien s�r, il y a plus que l'acheminement des mails. Les spammeurs peuvent utiliser Tor pour se connecter � des proxys HTTP ouverts (et de l�, � des serveurs SMTP) ; pour se connecter � de mauvais scripts CGI envoyant des mails, et pour contr�ler leur robots - et ainsi, communiquer, de fa�on d�guis�e, avec des arm�es de machines compromises qui enverront le spam. </p> <p>C'est d�solant, mais il faut noter que les spammeurs font d�j� ceci tr�s bien, sans Tor. Surtout, souvenez-vous que nombre de leurs m�thodes d'attaque les plus subtiles (comme l'envoi de paquets UDP contrefaits) ne peuvent pas �tre utilis�es sur Tor, parce qu'il ne transporte que des paquets TCP correctement form�s. </p> <a id="ExitPolicies"></a> <h3><a class="anchor" href="#ExitPolicies">Quelle est la strat�gie pour les serveurs de sortie de Tor ?</a></h3> <p>Chaque serveur qui choisit d'�tre nœud de sortie choisit sa propre strat�gie d�finissant quelles sont les connexions sortantes autoris�es ou refus�es par lui. Les strat�gies de sortie sont r�percut�es � l'utilisateur client par le biais du r�pertoire. De cette fa�on, les clients �viteront par exemple de choisir des nœuds de sortie qui refuseraient la sortie vers la destination qu'ils auraient choisie.</p> <p>Ainsi, chaque serveur peut d�cider des connexions des services, h�tes, et r�seaux qu'il autorise, sur la base des utilisations abusives et de sa situation particuli�re.</p> <a id="HowMuchAbuse"></a> <h3><a class="anchor" href="#HowMuchAbuse">Y a-t-il beaucoup d'utilisations abusives de Tor ?</a></h3> <p>Pas beaucoup, tout bien consid�r�. Nous avons mis en place et maintenu le r�seau depuis octobre 2003, et il n'y a eu qu'une poign�e de plaintes. Bien entendu, comme tous les r�seaux orient�s vers la confidentialit� des communications sur Internet, nous attirons notre lot de malades. Les strat�gies de sortie pratiqu�es par Tor aident � bien diff�rencier le r�le de "voulant contribuer au r�seau par des ressources" de celui de "voulant avoir � g�rer les plaintes pour utilisations abusives"; nous esp�rons ainsi faire de Tor un r�seau plus durable que les essais pr�c�dents de r�seaux anonymes.</p> <p>�tant donn� que Tor a �galement <a href="<page overview>">un nombre important d'utilisateurs l�gitimes</a>, nous pensons r�ussir plut�t bien � maintenir l'�quilibre pour l'instant.</p> <a id="TypicalAbuses"></a> <h3><a class="anchor" href="#TypicalAbuses">Si je mets en place un serveur, � quoi dois-je m'attendre ?</a></h3> <p>Si le serveur Tor que vous mettez en place autorise les sorties de connexions (et ce, avec les strat�gies de sortie par d�faut), il est probable de dire que vous finirez par entendre parler de quelqu'un. Les plaintes pour utilisation abusive pr�sentent des formes vari�es. Par exemple :</p> <ul> <li>Quelqu'un se connecte � Hotmail, et envoie � une entreprise une demande de ran�on. Le FBI vous envoie un courriel poli, vous expliquez que vous faites tourner un serveur Tor, ils disent "Ah, bien..." et vous laissent tranquille. [Port 80]</li> <li>Quelqu'un essaie de faire fermer votre serveur en utilisant Tor pour se connecter aux newsgroups Google et envoyer du spam sur Usenet, et ensuite cette personne envoie un mail courrouc� � votre FAI, pour dire que vous d�truisez le monde. [Port 80]</li> <li>Quelqu'un se connecte � un r�seau IRC (Internet Relay Chat) et se comporte de fa�on malfaisante. Votre FAI re�oit un mail poli disant que votre ordinateur a �t� compromis, et/ou votre ordinateur subit une attaque DDoS. [Port 6667]</li> <li>Quelqu'un utilise Tor pour t�l�charger un film de Vin Diesel, et votre FAI re�oit une plainte des autorit�s charg�es de faire respecter les droits s'appliquant sur le mat�riel t�l�charg�. Voir avec EFF les r�ponses � apporter � votre fournisseur d'acc�s. [Ports divers]</li> </ul> <p>Vous pourriez aussi vous apercevoir que l'acc�s � certains sites Internet ou services est bloqu� pour l'adresse IP de votre serveur. Ceci pourrait arriver quelle que soit la strat�gie de sortie de votre serveur, parce que certains groupes ne semblent pas savoir que Tor a des strat�gies de sortie, ou ne pas s'en soucier. (Si vous avez une IP de r�serve qui n'est pas utilis�e pour d'autres activit�s, vous pouvez envisager de faire tourner votre serveur avec cette IP). Par exemple, </p> <ul> <li>� cause de quelques cas d'idiots s'amusant � vandaliser ses pages, Wikip�dia bloque pour l'instant la fonction "�criture" pour beaucoup de serveurs Tor (la lecture des pages marche toujours). Nous discutons actuellement avec Wikip�dia du comment ils pourraient limiter les utilisations malveillantes tout en maintenant les fonctionnalit�s d'�criture pour les contributeurs anonymes qui ont souvent des scoops ou des informations de premi�re main sur un sujet, mais ne souhaitent pas r�v�ler leur identit� en les publiant (ou ne souhaitent pas r�v�ler � un observateur local qu'ils utilisent Wikip�dia). Slashdot est dans le m�me cas de figure.</li> <li>SORBS, lui, a mis les IP de quelques serveurs Tor sur sa liste noire d'adresses email. Ils ont fait cela apr�s avoir d�tect�, en mode passif, que votre serveur se connectait � certains r�seaux IRC, et ils en ont conclu que votre serveur �tait susceptible de spammer. Nous avons essay� de travailler avec eux et de leur expliquer que tous les logiciels ne fonctionnaient pas de cette fa�on, mais nous avons renonc�. Nous vous recommandons d'�viter SORBS, et d'apprendre � vos amis (s'ils l'utilisent) <a href="http://paulgraham.com/spamhausblacklist.html">comment �viter d'�tre sur les listes noires</a>.</li> </ul> <a id="IrcBans"></a> <h3><a class="anchor" href="#IrcBans">Tor est banni du serveur IRC que je veux utiliser</a></h3> <p>Il arrive que des idiots se servent de Tor pour "troller" dans des canaux IRC. Cette utilisation malveillante peut r�sulter dans le bannissement temporaire d'une IP (dans le jargon IRC, "kline") que l'op�rateur du r�seau IRC met en place pour emp�cher le troll d'acc�der au r�seau.</p> <p>Ce type de r�ponse met en �vidence une faiblesse essentielle du mod�le de s�curit� d'IRC : les op�rateurs de r�seau IRC supposent que une adresse IP �gale un humain, et qu'en bannissant l'adresse IP, ils banniront en m�me temps l'individu. En r�alit�, ce n'est pas ainsi que cela fonctionne - beaucoup de ces trolls prennent soin, g�n�ralement, d'utiliser les millions de proxys ouverts existants et les ordinateurs dont la s�curit� est compromise. Les r�seaux IRC ont engag� une bataille perdue d'avance � essayer de bloquer tous ces nœuds, et toute une industrie d'anti-trolls et dresseurs de listes noires a �merg�, bas�e sur cette faille du mod�le de s�curit� (un peu comme l'industrie de l'anti-virus). Tor, ici, n'est qu'une goutte d'eau dans la mer.</p> <p>D'un autre c�t�, du point de vue des op�rateurs de r�seau IRC, la s�curit� n'est pas un "tout ou rien". La rapidit� de leur r�ponse aux trolls ou aux autres attaques de ce type peut rendre le sc�nario d'attaque moins int�ressant pour le troll. Notons que, sur un r�seau donn�, � un instant donn�, une adresse IP particuli�re correspondra bien � un seul individu. Parmi les exceptions, on trouve en particulier les passerelles NAT, auxquelles l'acc�s peut �tre autoris�. Vouloir stopper l'utilisation de proxys ouverts est une bataille perdue d'avance, mais ce n'en est pas une de bannir (kline) une adresse IP de fa�on r�p�t�e, jusqu'� ce que l'utilisateur au comportement abusif se lasse et s'en aille voir ailleurs.</p> <p>Mais la bonne r�ponse serait d'impl�menter des applications d'authentification, de laisser l'acc�s au r�seau aux utilisateurs qui se comportent correctement et d'emp�cher les malveillants d'entrer. Ceci doit se faire sur la base de quelque chose que l'humain conna�t (comme un mot de passe, par exemple), et non sur la base de la fa�on dont ses paquets de donn�es sont transport�s.</p> <p>Bien entendu, les r�seaux IRC n'essayent pas tous de bannir les nœuds Tor. Apr�s tout, pas mal de gens utilisent Tor pour avoir, via IRC, des discussions confidentielles sans qu'on puisse faire le lien entre leur identit� dans les canaux IRC et leur vraie identit�. Il appartient � chaque r�seau IRC de d�cider s'il veut, en bloquant l'acc�s des IP utilisant Tor - une poign�e par rapport aux millions d'IP que les personnes malveillantes peuvent utiliser - bloquer aussi les contributions des utilisateurs de Tor qui se comportent correctement.</p> <p>Si l'acc�s � un r�seau IRC est bloqu� pour vous, ayez une discussion avec les op�rateurs du r�seau, et expliquez-leur les enjeux. Ils peuvent tr�s bien ne pas conna�tre du tout l'existence de Tor, ou bien ne pas savoir que les noms d'h�te qu'ils bannissent sont des nœuds de sortie Tor. Si vous expliquez le probl�me, et qu'ils concluent que Tor doit �tre bloqu�, alors vous pouvez peut-�tre envisager d'aller sur un r�seau plus soucieux de la libert� d'expression. Les inviter sur le canal #tor sur irc.oftc.net peut aussi leur montrer que nous ne sommes pas tous des "m�chants". </p> <p>Enfin, si vous avez connaissance d'un r�seau IRC qui semble interdire � Tor son acc�s, ou qui bloque un nœud de sortie Tor, merci de faire figurer cette information dans la <a href="http://wiki.noreply.org/wiki/TheOnionRouter/BlockingIrc">liste des r�seaux IRC bloquant Tor</a> afin d'en informer les autres. Un r�seau IRC, au moins, consulte cette page pour d�bloquer les nœuds Tor qui ont �t� bannis par inadvertance.</p> <a id="SMTPBans"></a> <h3><a class="anchor" href="#SMTPBans">Les nœuds de sortie Tor sont bannis du serveur de mail que je veux utiliser</a></h3> <p>M�me si Tor n'est <a href="#WhatAboutSpammers">pas utile pour faire du spam</a>, certains black-listeurs z�l�s semblent penser que tous les r�seaux ouverts comme Tor sont le mal - ils donnent � leurs administrateurs r�seau les moyens d'une op�ration coup-de-poing sur les probl�mes de strat�gie de r�seau, de service, et de routage, puis ils demandent des ran�ons aux victimes.</p> <p>Au cas o� les administrateurs de votre serveur mail d�cideraient de refuser le courrier entrant sur la base de ces listes noires, vous devriez discuter de Tor avec eux, et leur expliquer son fonctionnement et ses strat�gies de sortie.</p> <a id="Bans"></a> <h3><a class="anchor" href="#Bans">Je veux bannir le r�seau Tor de mon service Internet</a></h3> <p>Nous sommes d�sol�s de l'apprendre. Il y a quelques cas qui justifient de bloquer l'acc�s d'un service Internet � des utilisateurs anonymes. Mais, dans la plupart des cas, il existe des solutions plus simples pour r�soudre votre probl�me tout en continuant � laisser les utilisateurs acc�der au service de fa�on s�re.</p> <p>D'abord, demandez-vous si vous ne pourriez pas diff�rencier les utilisateurs l�gitimes des utilisateurs malveillants par des mesures prises au niveau logiciel. Par exemple, vous pourriez n'autoriser l'acc�s � certaines parties du site, ou � certains privil�ges comme la fonction de "post", qu'aux utilisateurs enregistr�s. Il est facile de maintenir une liste � jour des adresses IP Tor qui auraient acc�s au service, vous pourriez mettre ceci en place pour les utilisateurs de Tor. De cette fa�on, vous auriez des acc�s multi-crit�res, et n'auriez pas � interdire l'acc�s � la totalit� de votre service.</p> <p>� titre d'exemple, le <a href="http://freenode.net/policy.shtml#tor">r�seau IRC Freenode</a> a connu un probl�me avec un groupe organis� d'utilisateurs malveillants qui joignaient des canaux de discussion et en prenaient subtilement le contr�le. Lorsque Freenode a �tiquet� "utilisateur anonyme" tous les utilisateurs des serveurs Tor, emp�chant ceux qui commettaient les abus de s'immiscer dans les canaux, ceux-ci se sont remis � utiliser leurs proxys ouverts et leurs bots.</p> <p>En second lieu, pensez que des dizaines de milliers de gens utilisent quotidiennement Tor simplement comme une mesure de bonne hygi�ne dans leur navigation normale sur Internet - par exemple, pour se prot�ger contre les sites publicitaires qui collectent des donn�es. D'autres se serviront de Tor parce que c'est la seule fa�on pour eux de sortir de pare-feu locaux restrictifs. Certains utilisateurs de Tor sont sans doute, en ce moment m�me, connect�s � votre service, et y ont des activit�s tout-�-fait banales. Vous devez d�cider si interdire l'acc�s � Tor vaut la peine de perdre la contribution de ces utilisateurs, ainsi que des �ventuels futurs utilisateurs l�gitimes de votre service. Souvent, les gens n'ont m�me pas id�e du nombre d'utilisateurs polis de Tor qui sont connect�s � leur service - ils passent inaper�us jusqu'� ce qu'un impoli se manifeste.</p> <p>� ce niveau, demandez-vous �galement quelle doit �tre votre politique pour les autres services qui groupent un grand nombre d'utilisateurs derri�re quelques adresses IP. Tor, de ce point de vue, n'est pas tr�s diff�rent d'AOL.</p> <p>En dernier lieu, souvenez-vous que les nœuds Tor fonctionnent avec des <a href="#ExitPolicies">strat�gies de sortie individuelles</a>. Beaucoup de serveurs Tor n'autorisent aucune sortie de connexion. Parmi ceux qui effectivement autorisent des sorties de connexion, beaucoup peuvent d�j� ne pas autoriser l'acc�s � votre service. Lorsque vous proc�dez au bannissement des nœuds, vous devriez s�lectionner selon les strat�gies de sortie et ne bannir que ceux qui autorisent ces connexions. Et souvenez-vous que les strat�gies de sortie peuvent changer (ainsi que plus globalement, la liste des nœuds sur le r�seau).</p> <p>Si vraiment bannir les nœuds est ce que vous souhaitez, nous pouvons fournir un <a href="<svnsandbox>contrib/exitlist">script en Python pour extraire le r�pertoire Tor</a>. Notez que ce script ne vous donnera pas une liste absolument parfaite des adresses IP qui se connecteraient � votre service via Tor, car certains serveurs Tor peuvent sortir en utilisant une adresse IP diff�rente de celle qu'ils publient. </p> <a id="TracingUsers"></a> <h3><a class="anchor" href="#TracingUsers">J'ai une raison imp�rieuse de retrouver la trace d'un utilisateur de Tor. Pouvez-vous m'y aider ?</a></h3> <p>Les d�veloppeurs de Tor ne peuvent rien pour retrouver la trace des utilisateurs de Tor. Les m�mes protections qui emp�chent les m�chants de violer l'anonymat apport� par Tor nous emp�chent, nous aussi, de voir ce qui se passe. </p> <p>Certains fans ont sugg�r� que nous r�visions la conception de Tor en y incluant une <a href="http://wiki.noreply.org/noreply/TheOnionRouter/TorFAQ#Backdoor">porte d�rob�e (backdoor)</a>. Nous avons deux probl�mes avec cette id�e. Premi�rement, cela affaiblirait bien trop le syst�me. Avoir une fa�on centralis�e de lier les utilisateurs � leurs activit�s serait la porte ouverte � toutes sortes d''attaques, et les m�thodes n�cessaires � la bonne gestion de cette responsabilit� sont �normes et pour l'instant irr�solues. En second lieu, <a href="#WhatAboutCriminals">en aucune fa�on les criminels ne se feraient prendre par cette m�thode</a>, puisqu'ils utiliseraient d'autres moyens pour se rendre anonymes (usurpation d'identit�, effraction dans des ordinateurs utilis�s ensuite comme rebonds, etc.)</p> <p>Ceci ne signifie pas que Tor est invuln�rable. Les m�thodes traditionnelles de police sont toujours efficaces contre Tor, comme l'audition des suspects, la surveillance et le monitoring de claviers, la r�daction d'analyses stylistiques, les op�rations sous couverture, et autres m�thodes classiques d'investigation.</p> <a id="LegalQuestions"></a> <h3><a class="anchor" href="#LegalQuestions">J'ai des questions juridiques au sujet de l'utilisation malveillante</a></h3> <p>Nous ne sommes que les d�veloppeurs. Nous pouvons r�pondre aux questions d'ordre technique, mais nous ne sommes pas en mesure de r�pondre aux probl�mes et aspects l�gaux. </p> <p>Veuillez consulter la page des <a href="<page eff/tor-legal-faq>">FAQ juridiques</a> et contacter EFF directement si vous avez d'autres questions d'ordre juridique.</p> </div><!-- #main --> #include <foot.wmi>