Hello,
Les astuces ci-dessous sont valables pour Tor Browser et pour Firefox puisque TBB est un Firefox modifié.
Certaines modifications sont déjà faites par défaut sur Tor Browser.
- Demander les pages en anglais
Demander les pages en français mettrait sérieusement à mal une partie de votre anonymat.
Pour ne pas paraître différent des autres navigateurs il vaut mieux demander les pages en anglais.
Lors de la première utilisation, Torbutton vous demande s’il doit demander les pages en anglais.
Si vous n’avez pas dit oui, je crois que vous pouvez activer cette option en cliquant sur l’icône Torbutton, puis sur Préférences, et cocher la case “Modifier les détails qui vous distingue des autres utilisateurs de Navigateur Tor” qui est dans l’onglet “Paramètres de sécurité”.
Pour vérifier, dans un nouvel onglet tapez about:config
Cherches les valeurs suivantes :
extensions.torbutton.spoof_english → Doit être sur la valeur True
extensions.torbutton.spoof_language → Doit être sur la valeur en-us, en
extensions.torbutton.spoof_locale → Doit être sur la valeur en-US
Vous pouvez aussi vous rendre dans Préférence > Contenu > Langues et choisir Anglais/états-Unis [en-us].
2. NoScript & JavaScript :
Activer NoScript est indispensable.
Cliquez sur le S en haut à gauche puis sur “Interdire JavaScript globalement”.
Cliquez à nouveau sur le S, allez dans “Options”, dans l’onglet “Objets embarqués” et cochez toutes les cases qui correspondent à des scripts ainsi que Audio/Video, <IFRAME>, <FRAME>, @font-face et WebGL.
Si vous ne faites pas confiance NoScript pour bloquer JavaScript ouvrez un
nouvel onglet à l’adresse :
about:config
Cherchez la valeur javascript.enabled et double-cliquez dessus pour la passer à false.
3. Les extensions :
Sur Tor Browser, n’installez JAMAIS d’extensions.
Les sites peuvent consulter la liste des extensions installées sur le navigateur.
Cela modifie son empreinte et le rend un peu plus unique.
4. Téléchargements :
Sauf si vous l’avez désactivé, lorsque vous téléchargez un fichier avec TorBrowser, vous devriez avoir un avertissement avec deux options :une est d’ouvrir le fichier, l’autre de l’enregistrer.
Surtout ne choisissez jamais d’ouvrir un fichier directement ! Vous exposeriez votre vraie adresse IP (pas votre adresse IP Tor) au site.
Ne téléchargez jamais de fichiers exécutables à partir du clearnet avec TorBrowser, sauf si vous utilisez une connexion HTTPS avec un certificat valide.
5. HTTP Referer :
wikipedia word:
Un référant, plus connu sous l’anglicisme referer ou referrer, est, dans le domaine des réseaux informatiques, une information transmise à un serveur HTTP lorsqu’un visiteur suit un lien pour accéder à l’une de ses ressources, lui indiquant l’URL de la page où se situe ce lien qu’il a suivi.
En gros ça dit au site “Eh coucou ! Pour venir jusqu’à toi j’ai suivi un lien à partir de ce site.”
Si vous venez d’un moteur de recherche ce n’est pas gênant. Par contre si le referer indique l’adresse de FDW ou d’un autre site en .onion cela l’expose.
Pour ce faire on retourne dans :
about:config
network.http.sendRefererHeader → Passez la de 2 à 1.
Si vous mettez 0 certains sites comme French Deep Web peuvent ne plus fonctionner.
extensions.torbutton.refererspoof → Passez la à 1 au lieu de 0.
network.http.referer.spoofSource → Passez la à True au lieu de False.
network.http.sendSecureXSiteReferrer → Passez la à False au lieu de True.
La meilleure manière d’éviter le referer reste de faire un copier/coller du lien.
6. Les bridges “obfs3” :
Si vous n’utilisez pas de VPN et que vous pensez que l’utilisation de Tor vous met en danger, vous pouvez utiliser des bridges obfs3 pour vous connecter au réseau Tor.
Cela brouille les communications et rend difficile le repérage de votre
utilisation de Tor. Par contre votre navigation sera plus lente.
La liste des bridges (ponts) obfs3 n’est pas publique. En revanche il n’y a pas
un nombre de nœuds infini et la pénurie est possible. Ne les utilisez donc que si nécessaire.
Si vous en avez besoin, au démarrage de Tor Browser cliquez sur configurer.
Dans le questionnaire, cliquez sur suivant jusqu’à la question “Votre fournisseur d’accès Internet bloque t-il les connexions au réseau Tor ?”
et indiquez oui.
Après avoir encore cliqué sur suivant, le questionnaire va vous demander de sélectionner quel type de bridges vous souhaitez utiliser.
Normalement, obfs3 est sélectionné par défaut. Si ce n’est pas le cas sélectionnez-le et cliquez sur connecter.
7. Le tracking par ETAG (mode parano) :
Votre navigateur enregistre souvent des pages dans sa mémoire cache.
Cela permet des économies de bande passante.
À chaque page donnée, le serveur donne au navigateur un ETAG. C’est une suite de chiffres et de nombres qui changera si la page est modifiée. Normalement utilisé à des fins utiles (ne pas consommer trop de bande passante) son usage peut être détourné en donnant un ETAG unique à chaque navigateur.
La seule façon de s’en protéger est de vider son cache très régulièrement ou encore d’en interdire l’utilisation.
La meilleure solution est de se rendre régulièrement dans le menu de Tor Button et de cliquer sur “Nouvelle identité”.
8. Les canvas HTML :
Un canvas est une image que devra générer votre navigateur
en prenant en compte votre matériel comme la carte graphique et d’autres paramètres.
Ce canvas permet de réunir beaucoup d’informations sur votre navigateur et votre ordinateur.
Le résultat est parfois unique.
Pour s’en protéger il suffit de désactiver les scripts dans NoScript (puisque qu’il s’agit souvent de script JS).
Si vous avez laissé votre Javascript activé pour X raisons, le navigateur Tor
vous préviendra si un site tente de vous faire générer un canvas. Choisissez toujours de le bloquer.
Même avec tous les scripts désactivés le navigateur Tor affichera une alerte en cas de tentative d’extraction d’un canvas HTML.
9. Websocket
Websocket est un fonctionnalité utilisant JavaScript. Si il est correctement désactivé vous n’êtes normalement pas concernés.
Il est tout de même utile de le désactiver dans l’éventualité où vous devriez activer temporairement JavaScript.
Dans about:config passer network.websocket.enabled à False en double cliquant dessus.
Les utilisateurs de Tails devront créer cette ligne en faisant clique droit > nouvelle valeur booléene > false.
10. Security Slider
Le Security Slider est une des nouveautés de Tor Browser.
Il permet de définir des niveaux de sécurité et de renforcer le navigateur en supprimant au max la surface d’attaque disponible.
On y accède en cliquant sur le Torbutton puis sur Paramètres de confidentialité et de sécurité.
Plus le niveau est élevé plus le navigateur désactivera les vecteurs d’attaques possibles. Je conseille de le mettre au plus haut.
Il faut également cocher toutes les cases.
11. PDFJS Viewer
PDF.js Viewer est le lecteur de PDF de Firefox (et donc de Tor Browser). Récemment une vulnérabilité permettant d’accéder à des fichiers sensibles à été découverte. Pour prévenir tout
risque il vaut mieux le désactiver dans :
about:config
pdfjs.disabled → Passez la à true.
12. Optimisation
Ces options ne sont pas obligatoires et ne concernent pas la sécurité du navigateur.
network.http.connection-timeout → Passez la à 120 au lieu de 90.
Éviter le timeout.
network.http.pipelining.max-optimistic-requests → Passez la valeur à 8.
Concerne le pipelining.
network.http.pipelining.maxrequests → Passez la valeur à 20.
Concerne le pipelining.
Pour finir, vous pouvez tester votre referer, votre user agent et plein de choses en cliquant sur le lien ci-dessous.
