DX`j�~�hlf`�j\ik�cX�glZ\�K)6Vo

us et

Votre

Mac

N° 149 • Novembre 2018 100 % Mac en pratique

Apple veut-elle verrouiller le Mac autant qu’elle a verrouillé l’iPhone?

! +�flk`cj�[\�i�Zlg�iXk`fe�[\�]`Z_`\ij! Hl\c�Z_Xi^\li�[\�DXZ9ffb�lk`c`j\igfli�cX�i\Z_Xi^\�iXg`[\�[Ële�`G_fe\6

Nos conseils malins d’installationToutes les nouveautés intéressantes et pratiquesà mettre en œuvre!

Kflk�Z\�hlË̀ c�]Xlk�jXmf`i�[\

dXZFJDfaXm\

=I8E

:<�d

�kif

gfc`k

X`e\1

�,#0

'`

��JL@

JJ<1

�0#0

'�=J

;FD�

$�9<C

�$�DL

O�$�G

FIK�:

FEK1

�-#0

'`

��:8E

8;8�

('#0

0�

L 11206

- 149 H

- F: 5,90

€ - RD

Mflj�mflc\q�Z_Xe^\i�gfli�le�JJ;6�C\�[`jhl\�[\�mfki\�DXZ�X�ZXjj�6Eflj�mflj�\ogc`hlfej�Zfdd\ek�]X`i\#�j\cfe�hl\�mflj�Xm\q�gi�gXi��fl�gXjcËfg�iXk`fe�Xl�gi�XcXYc\%

3solutions simples pour installer un nouveau disque interne

COUV 149.qxp_Mise en page 1 10/10/2018 09:55 Page1

42 | Vous et Votre Mac 149 | Novembre 2018

Tor est un réseau décentraliséassurant l’échange d’informationsanonymisées. Il permet ainsi à deslanceurs d’alerte, des journalistes,des activistes, des opposants aux

régimes dictatoriaux de se protéger contre la cyber surveillance et la censure d’Internet, susceptibles de menacer la liberté d’expressionet la liberté de la presse.Edward Snowden a utilisé Tor pour sécuriser sescontacts avec la réalisatrice Laura Poitras et lejournaliste Glenn Greenwald, afin de dévoilerles programmes de surveillance globale de laNSA et du GCHQ britannique. WikiLeaks utiliseTor pour permettre l’envoi anonyme dedocuments [1]. Toutefois, le réseau Tor peutégalement être utilisé par tout un chacunpour protéger simplement sa vie privée, afin

de préserver la confidentialité de ses activités numériques ou d’empêcher le pistage publicitaire, par exemple. Bien sûr, chaque médaille à son revers. Tor, objet de tous les fantasmes journalistiques, estsouvent montré du doigt pour favoriser des activités moins avouables voire illicites. Par ailleurs, par la nature même de sonfonctionnement, il s’avère plutôt lent et le navigateur Tor Browser ne saurait être utilisécomme un remplaçant à plein temps deSafari, Chrome, Firefox, Opera ou Brave… Il estdédié à une utilisation ponctuelle, clairementjustifiée. Au-delà des polémiques, je vous pro-pose de découvrir son mode defonctionnement et ses limites.Tor, ce n'est pas le nom d’un dieu, mais plusconcrètement, l’acronyme de «The Onion

&

Plongée dans les coulisses de Tor à l’occasion de la sortie de Tor Browser 8Activités ponctuelles ou visites régulières de certains sites, vous avez besoin de sécurité et de confidentialité? N’utilisezpas votre navigateur habituel! Lancez plutôt Tor Browser dont la version 8 vient de sortir. Ce navigateur un peu particulier vous connectera automatiquement, sans complications inutiles, au fameux réseau Tor qui, au-delà des fantasmes du Darkweb, assure très prosaïquement votre anonymat sur Internet.

BAO-149 [DD] Réseau Tor et Tor Browser 8.qxp_Mise en page 1 06/10/2018 10:12 Page42

Router» (le routage en oignon). Il est né aumilieu des années 90 dans un laboratoirede la marine américaine, la Navy, avec pourobjectif de protéger les communicationsdes services de renseignement américains.Le projet est aujourd’hui indépendant etsoutenu par un organisme à but non lucratif « pour l’éducation et larecherche », The Tor Project, dirigé par Roger Dingledine, un très influent informaticien, spécialiste de la sécuritéinformatique et de la cryptographie.

UN CHIFFREMENT AUX PETITSOIGNONSPour établir une connexion anonyme à unsite, au lieu d’emprunter un itinéraire directentre la source et le serveur de destination,ce qui est habituellement le cas, lesdonnées transitent sur Tor par plusieursmachines relais, appelées nœuds,

hébergés par des milliers de volontairespassionnés ou des associations commeNos oignons (https://nos-oignons.net).Tor commence donc par récupérer la listedes nœuds auprès d’un annuaire, ce quilui permet d’établir un circuit Tor [2], c’est-à-dire de déterminer les trois relaispar lesquels vont transiter les donnéesjusqu’au serveur de destination. À ce stade, Tor établit successivement uneconnexion chiffrée avec chacun des nœudsdu circuit. Chaque nœud, d’entrée,intermédiaire et de sortie, applique unecouche de chiffrement. À ce stade, lecontenu de la communication est doncchiffré avec les trois clés (celles des troisnœuds) avant même d’être envoyé. À chaque passage par un relais, unecouche de chiffrement est enlevée, ce qui révèle la destination suivante dupaquet. Ces couches de chiffrement qui se

superposent telles des peaux, sont àl’origine du nom de «chiffrement enoignon». Le dernier relais, appelé nœud de sortie, va se connecter au serveur de destination [3].Chacun des trois relais d’un circuit Tor peut-être présent dans un pays différent.Chaque relais ne connaît que l’adressede ses voisins: celui qui lui a transmisles données et celui auquel il va lestransmettre, mais pas le circuit complet.Grâce au relais intermédiaire, il est impossible d’établir une relation entrela source et la destination d’uneconnexion. On pourrait être tenté d’ajouter davantage de nœuds intermédiaires pourrenforcer l’anonymat, mais cela ajoute de lalatence à Tor qui est déjà suffisamment lentcomme ça. In fine, en réponse, le serveur de destination utilisera le même circuit ensens inverse.

TOR NE SE LIMITE PAS À RENDREANONYME LA NAVIGATIONThe Tor Project met librement à dispositiond’autres applications comme TorBirdy, uneextension qui reconfigure le client de messagerie Mozilla Thunderbird, afin defaire transiter, de façon transparente, les e-mails par le réseau Tor. Les messageries instantanées (chat)peuvent également profiter de l’anonymatfourni par le réseau Tor, à l’instar de Tor Messenger, basé sur le clientmultiprotocole Instantbird de Mozilla, dontle développement a été récemment arrêté(https://bit.ly/2Owa713) mais dont lesfonctions de discussions seront transféréesprochainement sur Thunderbird.

TOR SUR UN APPAREIL MOBILESur iOS (iPhone et iPad), on trouve l’appOnion Browser [4]de Mike Tigas (sur

(

'

43 | Vous et Votre Mac 149 | Novembre 2018

BAO-149 [DD] Réseau Tor et Tor Browser 8.qxp_Mise en page 1 06/10/2018 09:04 Page43

44 | Vous et Votre Mac 149 | Novembre 2018

l’App Store), un navigateur libre et gratuit, recommandé par le projet Tor. Comme ilest reconfiguré, il s’avère très simple d’utilisation. L’App Store propose aussi denombreuses alternatives… à utilisertoutefois avec circonspection.Sur Android, on peut autoriser des applications à emprunter le réseau Tor eninstallant préalablement, à partir deGoogle Play, l’application Orbot[4], unproxy libre et gratuit. On navigueanonymement avec Orfox, le navigateurdédié, en attendant la sortie prochaine du

navigateur officiel Tor Browser for Android.On converse avec la messagerieChatSecureet l’on peut encore twitter avecle client officiel ou toute autre applicationqui supporte les proxies.

LES LIMITES DETORTor n’est pas infaillible. Bien qu’il camouflevotre adresse IP et masque lacommunication avec les serveurs, ce n’estpas la panacée. Comme toute solution desécurité, il y a des précautions à prendreafin de ne pas compromettre sonanonymat.Votre FAI ou les sites internet consultés peuvent savoir que vous vous connectezvia Tor, ce qui leur permet de bloquer oud’interdire certaines de leurs fonctionsaux utilisateurs du réseau. Ainsi,Wikipédia bloque-t-il l’édition anonymedes articles. En effet, la liste des nœuds d’entrée et des nœuds de sortie estlibrement disponible sur Internet, maisonpeut configurer Tor pour passer par desrelais spéciaux, appelés bridges (ou ponts),

non listés dans l’annuaire public.Tor camoufle et chiffre vos communicationsau sein de son propre réseau. Mais dès quevous en sortez, notamment lors de la visited’un serveur web, par l’envoi d’un e-mailnon sécurisé ou par le téléchargementd’une ressource externe au réseau commeun fichier PDF ou multimédia, le nœud desortie peut espionner le trafic sortant, dontles informations sont toujours en clair, et réduire à néant votre anonymat. Surtout s’il est administré par un utilisateur ou unorganisme malveillan. De nombreuxnœuds de sortie malhonnêtes sontinstallés uniquement dans ce but. S’il est re-commandé de privilégier la consultation de sites sécurisésavec SSL/TLS (le petit cadenas), qui chiffrentla communication, seule une solution dechiffrement de bout en bout peut vous protéger efficacement de telles attaques(voir notre article sur ProtonVPN dans ce même numéro).Enfin, certaines utilisations sont à bannir.Ainsi,Tor ne fournit aucun anonymat aux logiciels de P2P/Torrent.Tor a beaucoup d’atouts: une excellente

sécurité, une grande facilité d’utilisationavec Tor Browser et la gratuité. Tor n’est toutefois pas la seule solution permettantde naviguer anonymement sur Internet en cachant votre adresse IP.

TOR, LAMEILLEURE SOLUTIOND’ANONYMAT?Parmi les nombreuses solutionsalternatives, on peut évoquer les proxies(lire VVMac n°137): ces serveursmandataires sont des intermédiaireschargés de camoufler votre identité numérique en s’intercalant entrel’utilisateur et l’internet. Ils sont simplesd’utilisation et fonctionnent avec denombreuses applications, mais offrent unanonymat très insuffisant, car les communications avec les serveurs nesont généralement pas chiffrées ouseulement avec SSL. Parmi les autressolutions évoluées basées sur les proxies,citons I2P (Invisible Internet Project), unprojet libre assez semblable à Tor puisqu’ilutilise un chiffrement de bout en bout,

également appliqué en couchessuccessives, possède son propre webcaché, les eepsites, et permet d’allernaviguer anonymement sur le net. Sa confi-guration est toutefois moins simple queTor, impliquant d’ouvrir certains ports sur sabox/routeur. Enfin, il y a lesVPN (réseauprivé virtuel), ces tunnels chiffrés parlesquels transitent les communicationsoffrent une sécurité importante avec unchiffrement de bout en bout (terminé leproblème de surveillance des nœuds desortie malhonnêtes de Tor) et une vitesse denavigation beaucoup plus élevée qu’avecTor. Cependant ces solutions sont le plussouvent payantes (mieux vaut éviter lesVPN gratuits) et certains protocoles sont vulnérables (privilégier OpenVPN). Tous lesservices VPN ne se valent pas et il est important de bien étudier les nombreusesfonctions proposées avant de s’engager.ProtonVPN, par exemple (voir dans cenuméro), offre une fonctionnalité quipermet de naviguer sur le réseau Tor à partirde son navigateur habituel (hors Safari)sans se soucier de l’espionnage des nœudsde sortie.DENIS DUBOIS

)

*

J’AIMELa simplicité d’utilisation du navigateur; le niveau d’anonymat trèsélevé; la gratuité.

J’AIME MOINSLa vitesse de navigation très réduite;le risque d’espionnage des nœuds desortie vers Internet.

FRANÇAISPrix: gratuit.Config.: OS X 10.9+Éditeur: The Tor Projecthttps://www.torproject.org

Tor Browser 8

(

BAO-149 [DD] Réseau Tor et Tor Browser 8.qxp_Mise en page 1 06/10/2018 09:04 Page44

45 | Vous et Votre Mac 149 | Novembre 2018

Pour naviguer anonymement via le réseau Tor, il faut un navigateur spécialement configuré. Afin de simplifier la configuration et larendre accessible au plus grand nombre, le projet Tor met à disposition, gratuitement, un navigateur préconfiguré, le Tor Browser,dont la version 8 vient de sortir. C’est un navigateur libre qui est utilisé quotidiennement par plus de deux millions d’utilisateurs.

Ne téléchargez Tor Browserque sur le site du projet.C’est en anglais, mais il suffitde cliquer Download (enhaut à droite) et choisissez la

langue dans le menu déroulant. Lisez les recommandations (en anglais) pour unfonctionnement optimal de Tor.

QUATREEXTENSIONSCLÉSLe navigateur est fourni avec quatreextensions indispensables. TorLauncher active et gère la connexion à Tor (il vérifieaussi la présence d’une mise à jour). Torbutton (le bouton en forme d’oignon) affiche, pour sa part, un menu de configuration des paramètres de Tor. HTTPSPartout force la connexion sécurisée (HTTPS)lorsqu’elle existe et n’est pas utilisée par défaut sur les sites web du Clearnet. Enfin,NoScript bloque l’exécution de scripts(JavaScript, Flash et autres) afin d’empêchercertains sites (à l’exception de ceux que vousaurez placés en liste blanche) de dévoilercertaines de vos informations personnelles.Bien qu’il puisse recevoir les extensionspour Firefox, il est recommandé de ne

pas en installer d’autres que les quatre ci-dessus, afin de ne pas mettre en dangerla confidentialité du navigateur. Vous pouvez éventuellement augmentervotre sécurité, en jouant sur les troisniveaux (Normal, Plus sûr et Le plus sûr) dela réglette du « bouton de sécuritécoulissant »[1]dans les Paramètres desécurité. Une fois Tor Browser lancé, onpeut s’en servir presque comme d’un navigateur ordinaire, la seule différencesera le net ralentissement lors de la navigation. C’est la contrepartie du passagedes données par les différents nœuds deconnexion du circuit Tor. C’est une bonnehabitude que de commencer par vérifierque l’IP public sur Internet n’est pas votreadresse IP habituelle, en passant par unservice de vérification d’IP (mon-ip.com ouwhatismyip.com, par exemple). Ceci fait, vous pouvez naviguer de façonanonyme.

DEUXFAÇONSD’UTILISERTORBROWSEROn peut se servir de ce navigateur pouraccéder anonymement à un serveurInternet classique (sur ce que l’on appelle leClearnet, l’internet de Monsieur Tout-lemonde), en utilisant le navigateur commeun simple proxy. Ou bien on l’utilise pourconsulter les nombreux services cachés du Darkweb (plus de 30000), dont les adresses, inintelligibles, se terminent en « .onion ». L’emplacementgéographique ainsi que l’adresse IP de cesserveurs très particuliers sont cachés par Toret leur trafic est chiffré de bout en bout. Ilssont inaccessibles avec un navigateurclassique sauf à passer par un proxy commetor2web.org (https://tor2web.org/) maisdans ce cas, l’activité du visiteur n’est pasanonyme, ou par les serveurs Tor deProtonVPN (voir dans ce numéro). Pour démarrer, visitez la page The HiddenWiki, qui contient des dizaines de sites

(http://bit.ly/2xVk5PT). Il est important de connaître les limites deTor pour ne pas compromettre votreanonymat. Tor ne protège pas tout le traficde votre ordinateur, ni les autresnavigateurs ni les autres connexions (clientsmails, Torrents, flux RSS et autres). Inutile dechercher à faire du P2P ou du Torrent sur Tor,le protocole UDP n’est pas supporté. Enfin, lorsque vous fermez Tor Browser, les cookies sont isolés et l’historique dunavigateur est automatiquementsupprimé.

LESNOUVEAUTÉSDELAVERSION8Tor Browser 8 est basé sur la version deMozilla Firefox 60 ESR (Extended SupportRelease). Une version très stable bénéficiantd’un support étendu. De prime abord, onconstate une nouvelle page d’accueil avecun habillage de couleur pourpre [2]quidonne accès à un champ de rechercheDuckDuckGo. En haut à gauche, àdestination des nouveaux utilisateurs, unassistant de démarrage explique - enanglais - tout sur le fonctionnement et la sécurité du réseau Tor.

Au niveau des améliorations, citonsl’affichage du circuit Tor[3], en cliquant surla petite icône d’information, à gauche de labarre d’adresse: on y découvre les adressesIP des machines et les pays parcourus, ainsique les informations sur la sécurité de laconnexion au site. En cas de problème, unbouton permet de générer un nouveaucircuit. Si Tor n’arrive pas à se connecter, c’est

peut-être qu’il est bloqué par votrefournisseur d’accès internet. Dans ce cas, ilsera nécessaire de récupérer l’adresse IPd’un pont (ou bridge) afin de contourner lacensure. Cette procédure est désormaisplus facile. La version 8 apporte le support de l’APIWebExtensions pour les composantsinstallés par défaut comme l’extensionNoScript, et les rend compatible avec Firefoxmultiprocessus (l’interface utilisateur s’exécute alors dans un processus distinctdu contenu des pages web). Enfin, cette version 8.0 corrige son lot debugs et de vulnérabilités, il est doncvivement conseillé aux utilisateurs desanciennes versions du navigateurd’effectuer la mise à jour. DD

*

)

Une solution gratuite et très sûre pour préserver son anonymat sur le web

BAO-149 [DD] Réseau Tor et Tor Browser 8.qxp_Mise en page 1 06/10/2018 09:04 Page45

J’AIMEL’utilisation simplifiée au maximum;le niveau de sécurité très élevé; lavitesse de connexion; le support duP2P (autorisé sur certains des serveurs).

J’AIME MOINSRien à signaler…

ANGLAIS • OS X 10.10+Prix: Gratuit pour 1 appareil: Basicà 4€/mois (48€/an) pour 2 appareils;Plus à 8€/mois (96€/an) pour 5appareils; Visionary à 24€/moisÉditeur: ProtonVPNwww.protonvpn.com

Un nouveau service de VPN très sécurisé et très rapide

62 | Vous et Votre Mac 149 | Novembre 2018

ProtonVPN

L ’abonnement à un service de VPNest un petit investissement.Quelles bonnes raisons qui pourraient vous inciter à le faire?En réalité, les avantages d’un VPN

sont nombreux mais ils tiennent en

quelques mots: préserver la sécurité,l’anonymat et la confidentialité de vosdonnées. Par exemple, votre fournisseur d’accès Internet (FAI) ne pourra pas connaître lessites que vous fréquentez. Un VPN s’avère indispensable lors de connexions via lesréseaux Wifi publics, très exposés auxattaques et aux indiscrétions. Ça permet également de contourner le blocagegéographique de certains sites,généralement de vidéo ou de télévision,voire de contourner la censure dans certainspays. Pour toutes ces raisons, les VPNconnaissent un certain succès depuisquelques années et l’offre de service,gratuite ou payante, est abondante.ProtonVPN est une offre multiplateforme relativement récente. Alors que la versioniOS est toujours en développement, le clientnatif pour macOS est enfin disponibledepuis le mois d’août. Alors, qu’est-ce qui distingue ProtonVPN de ses nombreuxconcurrents?

LA SCIENCE ET LA… SUISSEProtonVPN est conçu par l’éditeur de lamessagerie sécurisée ProtonMail. C’est uneéquipe de scientifique et d’ingénieurs de

haut niveau qui se sont rencontrés au CERNet qui partagent une même vision d’unInternet plus sûr. Disons le tout net,ProtonVPN est un condensé de tout ce qui sefait de mieux dans le domaine. Le service estbasé en Suisse, et donc soumis à une deslégislations les plus protectrices en matièrede respect de la vie privée.Sur le site de l’éditeur, quatre offres sont proposées. L’offre gratuite impose, on s’endoute, de nombreuses restrictions (3 pays,un seul appareil, une vitesse bridée et pas deP2P). Cela ne permet pas d’évaluer correctement le produit. Optez pour l’offreBasic (4€/mois pour 2 appareils, avec leP2P) ou Plus (8€/mois). Personnellementj’ai opté pour cette dernière offre, car elle donne accès à toutes les fonctions avancéesdu VPN, sur cinq appareils. On peut payerpar carte bancaire, PayPal ou en Bitcoin, avec une garantie de remboursement detrente jours.

UNE INSTALLATION SIMPLIFIÉE AUMAXIMUMIci, pas de paramètres techniques à configurer! Contrairement à sesconcurrents, seul le protocole OpenVPN estsupporté. Cela peut surprendre, mais en

(

)

Proposé par des chercheurs en sécurité, concepteurs de Proton Mail, ProtonVPN présente de nombreux avantages sur ses concurrents. Très simple à utiliser, il est surtout vraiment très rapide et il propose des services particuliers pour plus de sécurité et de confidentialité.

149-PEM [DD] Proton VPN (1P).qxp_Mise en page 1 06/10/2018 09:26 Page62

63 | Vous et Votre Mac 149 | Novembre 2018

réalité c’est le seul protocole, à même d’offrirune sécurité sans faille. Il faut juste autoriserle Trousseau d’accès à stocker votre mot depasse de connexion. Vous pouvez utiliser vosidentifiants ProtonMail si vous êtes déjà utilisateur.L’interface [1], sobre et élégante, présenteune carte du monde (escamotable) avecl’emplacement des différents pays quidisposent de serveurs ProtonVPN.

À l’heure où j’écris, ProtonVPN dispose de263 serveurs disséminés dans vingt-troispays, dont la France. De nouveaux serveurssont régulièrement ajoutés.La barre latérale affiche les pays, précisant

pour chacun d’eux, les serveurs disponiblesavec leur taux d’occupation, sous formegraphique. Un bouton Quick Connectpermet la connexion/déconnexion en unclic. En cas de connexion active, la nouvelleadresse IP publique reste affichée en permanence. Un module [2], très pratiquepour changer de serveur, est également présent dans la barre des menus.

UNE VITESSE DE CONNEXIONEXCEPTIONNELLEEn général, quand on passe par un servicede VPN, on ressent que la connexion est plus«molle», moins rapide que lorsque l’on

passe «en direct». La première surprise, avecProtonVPN, vient justement de cettevitesse… si rapide, que l’on est tenté derester connecté au service en permanence!C’est à peine si on se rend compte que l’onpasse par un VPN.

DES SERVEURS UN PEU PARTICULIERSÀ côté des nombreux serveurs VPN«standards» proposés, il existe deux autrestypes de serveurs qui font partie desfonctions avancées de ProtonVPN.Les serveurs Secure Core offrent une couchede protection supplémentaire, utile contrel’éventuelle compromission d’un serveurVPN, en faisant passer le trafic au travers d’undeuxième serveur VPN particulier [3].Quant aux serveurs dédiés Tor [4], ilsredirigent la connexion au travers du réseaud’anonymat de Tor (fonction Tor over VPN),sans que l’on ait à se soucier de la problématique de vulnérabilité des nœudsde sortie. Ils permettent d’accéder auxservices cachés du Darkweb, qui ont desadresses en .onion, à l’aide d’un navigateurclassique (Chrome/UR, Firefox) –àl’exception de Safari.

PROFILS DE CONNEXIONPour un usage plus confortable, ProtonVPNoffre la possibilité de créer des profils deconnexion personnalisés. Chaque profilenregistre le type de connexion (Standard,P2P, Tor ou Secure Core), le pays et le serveursélectionné. Par défaut, deux profils sont déjà définis: sélection du serveur le plusrapide ou choix d’un serveur aléatoire àchaque connexion [5a] [5b].Les journaux de connexion des utilisateurs(logs) ne sont pas conservés, un des

avantages permis par la loi Suisse; lesrequêtes DNS (service de traduction des sitesconsultés en adresse IP) sont protégéescontre les fuites. La fonction Kill Switchbloque toutes les connexions réseau en casde perte de connexion avec le serveur VPN,ce qui pourrait révéler publiquement votrevéritable adresse IP.La sécurité physique des serveurs estégalement prise en compte, puisquecertaines infrastructures critiques se situentdans un ancien abri antiatomique del'armée Suisse situé à 1000 mètres sous lasurface [6]. De quoi rassurer les plusparanoïaques!DENIS DUBOIS

+*

,X

,Y

-

149-PEM [DD] Proton VPN (1P).qxp_Mise en page 1 06/10/2018 09:26 Page63