Plusieurs dizaines d'adresses de sites appartenant à Debian et Tor Project sont désormais accessibles via le réseau Tor. Des adresses dédiées en .onion ont été mises en place.
Après avoir connu une période tumultueuse avec le changement de son comité de direction et les accusations de harcèlement contre Jacob Appelbaum, l'équipe en charge du projet Tor continue d'aller de l'avant. Elle annonce aujourd'hui l'arrivée de plusieurs dizaines d'adresses en .onion pour des sites de la distribution Linux Debian ainsi que pour ceux de Tor Project.
Le billet de blog précise que le but n'est pas ici de « cacher » le serveur qui est à l'origine du service, comme c'est parfois le cas. Il s'agit de s'assurer que l'intégrité des données et la confidentialité de la connexion soient respectées, tout en vérifiant que le site visité est bien celui visé et non une copie (éventuellement piégée). L'équipe va jusqu'à indiquer que « dans un sens, c'est similaire à ce que l'utilisation du HTTPS propose ».
Pour en profiter, il faut évidemment se connecter au réseau Tor, ce qui peut simplement être fait via TorBrowser, un navigateur basé sur Firefox qui s'occupe de tout à votre place. De plus, si vous installez le paquet apt-transport-tor sur votre distribution Linux Debian, vous pouvez alors modifier trois lignes dans le fichier des « sources » APT pour que la connexion se fasse directement via le réseau Tor.
Dans le cas de la version 8.x alias Jessie, le fichier « /etc/apt/sources.list » peut être édité de manière à ajouter les trois lignes suivantes :
deb tor+http://vwakviie2ienjx6t.onion/debian jessie main
deb tor+http://vwakviie2ienjx6t.onion/debian jessie-updates main
deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security jessie/updates main
Debian explique qu'« APT comprend déjà des mécanismes garantissant l'authenticité des paquets téléchargés. Cependant, un adversaire observant le trafic réseau peut savoir quels logiciels sont installés. En installant apt-transport-tor et en modifiant le fichier sources.list pour qu'il n'ait que des URL Tor, l'interception du trafic réseau pour déterminer si des paquets sont installés ou quels paquets sont installés devient très difficile ». Prudente, elle ajoute tout de même « que cette approche n'est pas plus sûre que Tor lui-même ».
De manière plus générale, des listes des adresses .onion disponibles pour accéder aux différents domaines et sous-domaines de Debian et Tor Project sont disponibles sur les liens ci-dessous. Il est prévu que ces listes grossissent dans un « avenir proche » afin de proposer encore plus de services accessibles via Tor, sans plus de détail pour le moment.
