FAQ sur les abus

Super. C'est exactement pourquoi nous avons mis en place des politiques de sortie.

Chaque relais Tor a une politique de sortie qui spécifie le type de connexions sortantes autorisées ou refusées à partir de ce relais. Les politiques de sortie sont propagées aux clients Tor via le répertoire, de sorte que les clients éviteront automatiquement de choisir des relais de sortie qui refuseraient de sortir vers leur destination prévue. De cette façon, chaque relais peut décider des services, des hôtes et des réseaux auxquels il souhaite autoriser les connexions, en fonction du potentiel d'abus et de sa propre situation. Lisez l'article de support sur les problèmes que vous pourriez rencontrer si vous utilisez la politique de sortie par défaut, puis lisez les conseils de Mike Perry pour gérer un nœud de sortie.

La politique de sortie par défaut permet l'accès à de nombreux services populaires (par exemple, la navigation Web), mais en restreint certains en raison d'un potentiel d'abus (par exemple, le courrier électronique) et d'autres car le réseau Tor ne peut pas gérer la charge (par exemple, les ports de partage de fichiers par défaut). Vous pouvez modifier votre politique de sortie en modifiant votre fichier torrc. Si vous voulez éviter la plupart sinon tous les abus potentiels, réglez-le sur "reject *:*". Ce paramètre signifie que votre relais sera utilisé pour relayer le trafic à l'intérieur du réseau Tor, mais pas pour les connexions à des sites Web externes ou à d'autres services.

Si vous autorisez des connexions de sortie, assurez-vous que la résolution de noms fonctionne (c'est-à-dire que votre ordinateur peut résoudre correctement les adresses Internet). S'il y a des ressources que votre ordinateur ne peut pas atteindre (par exemple, vous êtes derrière un pare-feu ou un filtre de contenu restrictif), veuillez les rejeter explicitement dans votre politique de sortie sinon les utilisateurs de Tor seront également impactés.

La mission de Tor est de faire avancer les droits humains avec des technologies libres et open-source et de permettre à ses utilisateurs de se défendre contre la surveillance de masse et la censure sur internet. Nous trouvons regrettable que des certaines personnes utilisent Tor à des fins néfastes et nous condamnons l'abus et l'exploitation de notre technologie à des fins criminelles.

Il est essentiel de comprendre que l'intention criminelle réside chez les individus et non dans les outils qu'ils utilisent. Tout comme d'autres technologies très répandues, Tor peut-être utilisé par des individus ayant des intentions criminelles. And because of other options they can use it seems unlikely that taking Tor away from the world will stop them from engaging in criminal activity. At the same time, Tor and other privacy measures can fight identity theft, physical crimes like stalking, and be used by law enforcement to investigate crime and help support survivors.

Les attaques par déni de service distribué (DDoS) reposent généralement sur un groupe de milliers d'ordinateurs qui envoient tous des masses de données vers une victime. L'objectif étant de saturer la bande passante de la victime, ils envoient généralement des paquets UDP qui ne nécessitent ni établissement de contacts ni coordination.

Mais parce que Tor ne transporte que les flux TCP correctement formés, et non tous les paquets IP, vous ne pouvez pas envoyer de paquets UDP sur Tor. (Vous ne pouvez pas non plus faire des formes spécialisées de cette attaque comme le SYN flooding.) Les attaques DDoS ordinaires ne sont donc pas possibles avec Tor. Tor ne permet pas non plus les attaques par amplification de bande passante contre des sites externes : vous devez envoyer un octet pour chaque octet que le réseau Tor enverra à votre destination. Donc, en général, les attaquants qui contrôlent suffisamment de bande passante pour lancer une attaque DDoS efficace peuvent très bien le faire sans Tor.

Tout d'abord, la politique de sortie de Tor par défaut rejette tout le trafic sortant du port 25 (SMTP). Ainsi, l'envoi de spam via Tor ne fonctionnera pas par défaut. Il est possible que certains opérateurs de relais activent le port 25 sur leur nœud de sortie particulier, auquel cas cet ordinateur autorisera les courriers sortants ; mais cette personne pourrait également mettre en place un relais de mail ouvert, indépendamment de Tor. En bref, Tor n'est pas utile pour le spamming, car presque tous les relais Tor refusent de délivrer des mails.

Bien entendu, il ne s'agit pas uniquement de distribuer des mails. Les spammeurs peuvent utiliser Tor pour se connecter à des proxys HTTP ouverts (et, de là, à des serveurs SMTP), pour se connecter à des scripts CGI d'envoi de mails mal écrits et pour contrôler leurs botnets, c'est-à-dire pour communiquer secrètement avec des armées d'ordinateurs compromis qui diffusent le spam.

C'est dommage, mais il faut noter que les spammeurs se débrouillent déjà très bien sans Tor. N'oubliez pas non plus que nombre de leurs mécanismes de communication les plus subtils (comme les paquets UDP usurpés) ne peuvent pas être utilisés sur Tor, car celui-ci ne transporte que des connexions TCP correctement formées.

Tor has implemented exit policies. Chaque relais Tor a une politique de sortie qui spécifie le type de connexions sortantes autorisées ou refusées à partir de ce relais. De cette façon, chaque relais peut décider des services, des hôtes et des réseaux auxquels il souhaite autoriser les connexions, en fonction du potentiel d'abus et de sa propre situation. Nous disposons également d'une équipe dédiée, Santé du Réseau, pour enquêter sur les mauvais comportements des relais et les expulser du réseau.

Sachez que bien qu'il nous soit possible de combattre certains abus de notre réseau comme les mauvais relais, ne nous pouvons pas voir ou administrer ce que nos utilisateurs font sur le réseau, et cela est intentionnel. This design overwhelmingly allows for beneficial uses by providing human rights activists, journalists, domestic violence survivors, whistleblowers, law enforcement officers, and many others with as much privacy and anonymity as possible. Learn more about our users and Tor's beneficial use cases here.

Si vous faites tourner un relais Tor qui autorise les connexions de sortie (comme la politique de sortie par défaut), il est probablement sûr de dire que vous aurez éventuellement des retours de quelqu'un. Les plaintes pour abus peuvent se présenter sous diverses formes. Par exemple :

  • Quelqu'un se connecte à Hotmail, et envoie une demande de rançon à une entreprise. Le FBI vous envoie un email, vous expliquez que vous faites tourner un relais Tor, et ils disent "oh bien" et vous laissent tranquille. [Port 80]
  • Quelqu'un essaie de vous faire fermer en utilisant Tor pour se connecter à Google Groupes et envoyer des spams sur Usenet, puis envoie un mail de colère à votre FAI sur la façon dont vous détruisez le monde. [Port 80]
  • Quelqu'un se connecte à un réseau IRC et se met en danger. Votre fournisseur d'accès à Internet reçoit un e-mail indiquant que votre ordinateur a été compromis, et/ou votre ordinateur est victime d'un DDoS. [Port 6667]
  • Quelqu'un utilise Tor pour télécharger un film de Vin Diesel, et votre FAI reçoit une notification de retrait DMCA. Voir le Tor DMCA Response Template de l'EFF , qui explique pourquoi votre FAI peut probablement ignorer la notification sans être tenu responsable. [Ports arbitraires]

Certains fournisseurs d'hébergement sont plus accueillants que d'autres en ce qui concerne les sorties de Tor. Pour une liste, voir le wiki des bons et mauvais FAI.

Pour un ensemble complet de modèles de réponses aux différents types de plaintes pour abus, voir la collection de modèles. Vous pouvez également réduire de manière proactive le nombre d'abus que vous subissez en suivant ces conseils pour gérer un nœud de sortie avec un minimum de harcèlement et gérer une politique de sortie réduite.

Vous pouvez également constater que l'IP de votre relais Tor est bloquée pour accéder à certains sites/services Internet. Cela peut se produire indépendamment de votre politique de sortie, car certains groupes ne semblent pas savoir ou se soucier du fait que Tor a des politiques de sortie. (Si vous avez une IP libre non utilisée pour d'autres activités, vous pouvez envisager de faire tourner votre relais Tor dessus). En général, il est conseillé de ne pas utiliser votre connexion internet domestique pour fournir un relais Tor.

Il arrive que des personnes malhonnêtes utilisent Tor pour troller sur les canaux IRC. Cet abus entraîne des interdictions temporaires spécifiques à l'IP ("klines" dans le jargon IRC), car les opérateurs de réseau tentent d'empêcher le troll d'accéder à leur réseau.

Cette réponse met en évidence une faille fondamentale dans le modèle de sécurité de l'IRC : ils partent du principe que les adresses IP sont équivalentes aux utilisateurs, et qu'en interdisant l'adresse IP, ils peuvent interdire l'utilisateur. En réalité, ce n'est pas le cas - de nombreux trolls utilisent régulièrement les millions de proxys ouverts et d'ordinateurs compromis sur l'internet. Les réseaux IRC mènent une bataille perdue d'avance en essayant de bloquer tous ces nœuds, et toute une industrie artisanale de listes de blocage et de contre-trolls s'est développée sur la base de ce modèle de sécurité défectueux (qui n'est pas sans rappeler l'industrie des antivirus). Le réseau Tor n'est qu'une goutte d'eau dans l'océan.

D'autre part, du point de vue des opérateurs de serveurs IRC, la sécurité n'est pas une question de tout ou rien. En réagissant rapidement aux trolls ou à toute autre attaque sociale, il peut être possible de rendre le scénario d'attaque moins intéressant pour l'attaquant. Et la plupart des adresses IP individuelles correspondent à des personnes individuelles, sur un réseau IRC donné, à un moment donné. Les exceptions comprennent les passerelles NAT qui peuvent se voir attribuer un accès dans des cas particuliers. Si c'est une bataille perdue d'avance que d'essayer d'empêcher l'utilisation de proxys ouverts, ce n'est généralement pas une bataille perdue d'avance que de continuer à kliner un seul utilisateur IRC mal élevé jusqu'à ce qu'il se lasse et s'en aille.

Mais la véritable réponse consiste à mettre en œuvre des systèmes d'authentification au niveau de l'application, afin de laisser entrer les utilisateurs qui se comportent bien et d'exclure les utilisateurs qui se comportent mal. Cela doit être basé sur une propriété humaine (comme un mot de passe qu'il connaît), et non sur une propriété de la manière dont ses paquets sont transportés.

Bien entendu, tous les réseaux IRC n'essaient pas d'interdire les nœuds Tor. Après tout, de nombreuses personnes utilisent Tor pour faire de l'IRC en toute confidentialité afin d'établir des communications légitimes sans les lier à leur identité dans le monde réel. Chaque réseau IRC doit décider pour lui-même si le fait de bloquer quelques IP supplémentaires parmi les millions d'IP que les mauvaises personnes peuvent utiliser vaut la peine de perdre les contributions des utilisateurs Tor qui se comportent bien.

Si vous êtes bloqué, discutez avec les opérateurs du réseau et expliquez-leur le problème calmement. Il se peut qu'ils ne soient pas du tout au courant de l'existence de Tor, ou qu'ils ne sachent pas que les noms d'hôtes qu'ils utilisent sont des nœuds de sortie de Tor. Si vous expliquez le problème et qu'ils concluent que Tor doit être bloqué, vous pouvez envisager de passer à un réseau plus ouvert à la liberté d'expression. Peut-être qu'en les invitant à #tor sur irc.oftc.net, vous leur montrerez que nous ne sommes pas tous des personnes malveillantes.

Enfin, si vous avez connaissance d'un réseau IRC qui semble bloquer Tor, ou d'un seul noeud de sortie Tor, merci de mettre cette information sur The Tor IRC block tracker afin que d'autres puissent la partager. Au moins un réseau IRC consulte cette page pour débloquer les nœuds de sortie qui ont été bloqués par inadvertance.

Même si Tor n'est pas utile pour le spamming, certains bloqueurs trop tatillons semblent penser que tous les réseaux ouverts comme Tor sont diaboliques - ils tentent de faire pression sur les administrateurs de réseau sur les questions de politique, de service et de routage, puis de soutirer des rançons aux victimes.

Si les administrateurs de votre serveur décident d'utiliser ces listes de blocage pour refuser le courrier entrant, vous devez avoir une conversation avec eux et leur expliquer Tor et les politiques de sortie de Tor.

Nous sommes désolés d'entendre ça. Dans certaines situations, il est judicieux de bloquer les utilisateurs anonymes d'un service Internet. Mais dans de nombreux cas, il existe des solutions plus simples qui peuvent résoudre votre problème tout en permettant aux utilisateurs d'accéder à votre site web en toute sécurité.

Tout d'abord, demandez-vous s'il existe un moyen de prendre des décisions au niveau des applications pour séparer les utilisateurs légitimes des abuseurs. Par exemple, vous pouvez réserver certaines zones du site, ou certains privilèges comme la publication de messages, aux personnes inscrites. Il est facile de construire une liste à jour des adresses IP Tor qui autorisent les connexions à votre service, de sorte que vous pourriez mettre en place cette distinction uniquement pour les utilisateurs de Tor. De cette façon, vous pouvez avoir un accès à plusieurs niveaux et ne pas avoir à interdire tous les aspects de votre service.

Par exemple, le réseau IRC Freenode a eu un problème avec un groupe coordonné d'abuseurs qui rejoignaient les canaux et prenaient subtilement le contrôle de la conversation ; mais lorsqu'ils ont étiqueté tous les utilisateurs venant des nœuds Tor comme "utilisateurs anonymes", supprimant la capacité des abuseurs à se fondre dans la masse, les abuseurs sont revenus à l'utilisation de leurs proxies ouverts et de leurs réseaux de bots.

Deuxièmement, il faut savoir que des centaines de milliers de personnes utilisent Tor chaque jour simplement pour une bonne hygiène de leur données - par exemple, pour se protéger contre les sociétés de publicité qui collectent des données tout en vaquant à leurs activités normales. D'autres utilisent Tor parce que c'est leur seul moyen de passer outre les pare-feu locaux restrictifs. Certains utilisateurs de Tor peuvent légitimement se connecter à votre service en ce moment même pour poursuivre leurs activités normales. Vous devez décider si l'interdiction du réseau Tor vaut la peine de perdre les contributions de ces utilisateurs, ainsi que les futurs utilisateurs légitimes potentiels. (Souvent les gens n'ont pas une bonne mesure du nombre d'utilisateurs respectueux de Tor qui se connectent à ce service — vous ne remarquez jamais ces utilisateurs jusqu'à ce qu'il y en ait un qui se montre malveillant.)

À ce stade, vous devriez également vous demander ce que vous faites des autres services qui regroupent de nombreux utilisateurs derrière quelques adresses IP. Tor n'est pas si différent d'AOL à cet égard.

Enfin, n'oubliez pas que les relais Tor ont des politiques de sortie individuelles. De nombreux relais Tor n'autorisent pas du tout les connexions sortantes. Beaucoup de ceux qui autorisent certaines connexions de sortie peuvent déjà interdire les connexions à votre service. Lorsque vous bannissez des nœuds, vous devez analyser les politiques de sortie et ne bloquer que celles qui autorisent ces connexions. Vous devez également garder à l'esprit que les politiques de sortie peuvent changer (ainsi que la liste globale des nœuds du réseau).

Si vous voulez vraiment le faire, nous fournissons une liste de relais de sortie Tor ou une liste basée sur le DNS que vous pouvez interroger.

(Certains administrateurs système bloquent des plages d'adresses IP en raison d'une politique officielle ou d'une tendance à la manipulation, mais certains ont également demandé à autoriser les relais de sortie Tor parce qu'ils veulent permettre l'accès à leurs systèmes uniquement en utilisant Tor. Ces scripts sont également utilisables pour les listes d'autorisation.)

Les développeurs de Tor ne peuvent rien faire pour suivre les utilisateurs de Tor à la trace. Les mêmes protections qui empêchent les personnes mal intentionnées de percer l’anonymat de Tor nous empêchent aussi de suivre les utilisateurs à la trace.

Certains internautes ont suggéré que Tor soit redessiné pour inclure une porte dérobée. Cette idée présente deux problèmes. Premièrement, elle affaiblit trop le système sur le plan technique. Le fait de disposer d'un moyen central de relier les utilisateurs à leurs activités constitue une faille béante pour toutes sortes d'attaquants ; et les mécanismes réglementaires nécessaires pour garantir une gestion correcte de cette responsabilité sont énormes et non résolus. Deuxièmement, les mauvaises personnes ne seront de toute façon pas prises au piège, puisqu'elles utiliseront d'autres moyens pour garantir leur anonymat (vol d'identité, compromission d'ordinateurs et utilisation de ces derniers comme points de rebond, etc).

Cela signifie en fin de compte qu'il incombe aux propriétaires de sites de se protéger contre les compromis et les problèmes de sécurité qui peuvent provenir de n'importe où. Il s'agit là d'une partie de la démarche visant à profiter des avantages de l'internet. Vous devez être prêt à vous protéger contre les mauvais éléments, d'où qu'ils viennent. Le suivi et la surveillance accrue ne sont pas la solution pour prévenir des abus.

Mais n'oubliez pas que cela ne signifie pas que Tor est invulnérable. Les techniques habituelles de la police peuvent encore être très efficaces contre Tor, comme l'enquête sur les motifs, les moyens et les opportunités, les interrogatoires des suspects, l'analyse du style d'écriture, l'analyse technique du contenu lui-même, les opérations d'infiltration, les écoutes de clavier et d'autres enquêtes physiques. Le projet Tor est également heureux de travailler avec tout le monde, y compris les groupes des forces de l'ordre, pour les former à l'utilisation du logiciel Tor afin de mener en toute sécurité des enquêtes ou des activités anonymes en ligne.

Le projet Tor n'héberge pas, ne contrôle pas et n'a pas la capacité de découvrir le propriétaire ou l'emplacement d'une adresse .onion. L'adresse .onion est une adresse d'un service onio. Le nom qui se termine par .onion est un descriptif des services en onion. Il s'agit d'un nom généré automatiquement qui peut être localisé sur n'importe quel relais ou client Tor, n'importe où sur Internet. Les services en onion sont conçus pour protéger à la fois l'utilisateur et le fournisseur de services contre la découverte de leur identité et de leur pays d'origine. La conception des services en onion signifie que le propriétaire et l'emplacement du site .onion sont cachés, même pour nous.

Mais n'oubliez pas que cela ne signifie pas que les services onion sont invulnérables. Les techniques de police traditionnelles peuvent encore être très efficaces contre eux, comme l'interrogatoire des suspects, l'analyse du style d'écriture, l'analyse technique du contenu lui-même, les opérations d'infiltration, les écoutes de clavier et d'autres investigations physiques.

Si vous avez une plainte concernant du matériel pédopornographique, vous pouvez la signaler au National Center for Missing and Exploited Children (Centre national pour les enfants disparus et exploités), qui sert de point de coordination national pour les enquêtes sur la pédopornographie : https://www.missingkids.com/. Nous ne consultons pas les liens que vous nous signalez.

Nous prenons les abus au sérieux. Les activistes et les forces de l'ordre utilisent Tor pour enquêter sur les abus et aider à soutenir les victimes. Nous travaillons avec eux pour les aider à comprendre comment Tor peut faciliter leur travail. Dans certains cas, des erreurs technologiques sont commises et nous aidons à les corriger. Étant donné que certains membres de la communauté des victimes sont stigmatisés au lieu de faire preuve de compassion, la recherche d'un soutien auprès d'autres victimes nécessite une technologie préservant la vie privée.

Notre refus d'intégrer des portes dérobées et la censure dans Tor n'est pas dû à une préoccupation insuffisante. Nous refusons d'affaiblir Tor, car cela nuirait aux efforts de lutte contre la maltraitance des enfants et la traite des êtres humains dans le monde physique, tout en supprimant les espaces sûrs pour les victimes en ligne. Pendant ce temps, les criminels auraient toujours accès aux réseaux de botnets, aux téléphones volés, aux comptes d'hébergement piratés, au système postal, aux coursiers, aux fonctionnaires corrompus et à toute technologie émergente pour échanger du contenu. Ils adoptent rapidement la technologie. Face à cela, il est dangereux pour les dirigeants politiques de supposer que le blocage et le filtrage sont suffisants. Nous souhaitons davantage contribuer aux efforts visant à mettre fin aux abus envers les enfants et à les prévenir que d'aider les politiciens à marquer des points auprès de leurs électeurs en les dissimulant. Le rôle de la corruption est particulièrement troublant ; voir le rapport des Nations unies sur le rôle de la corruption dans le trafic des humains.

Enfin, il est nécessaire de tenir compte du monde que rencontreront les enfants à l'âge adulte lorsqu'il faudra mettre en œuvre des politiques en leur nom. Nous remercieront-ils s'ils sont incapables d'exprimer leurs opinions en toute sécurité à l'âge adulte ? Et s'ils essaient de dénoncer l'incapacité de l'État à protéger d'autres enfants ?