Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Tor Browser 6.5 et la distribution Tails 2.10 renforcent leur sécurité

Onion sans larmes
Logiciel 3 min
Tor Browser 6.5 et la distribution Tails 2.10 renforcent leur sécurité

Les développeurs du réseau Tor viennent de publier plusieurs nouvelles versions de leurs produits. Tails 2.10 est ainsi disponible, de même que Tor Browser 6.5. L’équipe en profite d’ailleurs pour publier la première version alpha de Tor Browser 7.0.

La distribution Linux Tails, dédiée à l’anonymat sur Internet, revient dans une mouture 2.10. Les nouveautés sont assez nombreuses, avec notamment le lot habituel des nouvelles versions des composants et paquets : Tor 0.2.9.9, Tor Browser 6.5, noyau Linux 4.8, Icedove 45.6.0 ou encore le remplacement de l’extension Adblock plus par uBlock Origin.

AMDGPU, exFAT et services Onion dans APT

Certains changements plus importants sont également présents. Par exemple, l’installation du pilote libre AMDGPU fait maintenant partie du démarrage du système, ce qui devrait aider le support des GPU AMD plus récents. Tails intègre en outre le support du système de fichiers exFAT, configure le gestionnaire de paquets APT pour tirer parti des services Onion et modifie les entrées de l’amorce. Dans cette dernière, « Live » fait maintenant place à « Tails », tandis que « failsafe » est remplacé par le nettement plus clair « Troubleshooting Mode », dans le cas où la distribution aurait des soucis lors du démarrage.

Notez également que Tails 2.10 installe dorénavant OnionShare, un outil consacré à l’anonymisation des partages de fichiers. Elle active également la vue « circuit » pour Tor Browser. Cette dernière permet d’afficher, via le bouton Tor dans le navigateur, les trois relais utilisés pour le site ouvert dans l’onglet en cours.

D'importantes améliorations pour Tor Browser 6.5

L’équipe de développement indique dans son billet de blog que la nouvelle version 6.5 du navigateur est à considérer comme majeure. On y retrouve le lot classique des mises à jour internes, notamment Firefox 45.7.0 ESR, OpenSSL 1.0.2j, HTTPS-Everywhere 5.2.9 et NoScript 2.9.5.3.

Plus généralement, Tor Browser 6.5 comporte des améliorations importantes pour la sécurité. Il bloque ainsi les fichiers JAR (Java) distants, supprime le support des pins SHA-1 HPKP, intègre certains changements introduits par Firefox – notamment le marquage des pages JIT comme non-exécutables – l’isolation des requêtes de script SharedWorker au domaine principal ou encore la correction d’un bug dans la version Windows, qui pouvait entrainer une fuite d’information sur le fuseau horaire de l’utilisateur.

Tor Browser 6.5 est également l’occasion de revoir en partie l’interface, en particulier pour le rangement des fonctionnalités. La réglette de sécurité se veut plus évidente à comprendre et ses explications plus claires sur les différents niveaux. De nombreux réglages figurant dans le bouton Tor ont été déplacés dans ceux de Firefox pour en finir avec une trop grande séparation. L’équipe indique d’ailleurs que ces déplacements permettent d’en finir avec certains problèmes graphiques, en particulier durant un redimensionnement de la fenêtre.

Une première version alpha pour Tor Browser 7.0

Dans une moindre mesure, la première version alpha de Tor Browser 7.0 est également disponible. Dans les grandes lignes, elle reprend toutes les améliorations de la mouture 6.5, mais intègre également Snowflake dans la version Linux. Il s’agit d’un module de transport qui permet de faire circuler les données via des proxys temporaires en utilisant WebRTC.

12 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 25/01/17 à 11:33:01

Tor Browser passe de la version 6.0.8 à la version 6.5. Le grand écart.:francais:

Avatar de adrieng INpactien
Avatar de adriengadrieng- 25/01/17 à 14:34:53

Pour info, il est très facile pour une Debian classique d'avoir les mises à jour de paquet par tor : il suffit d'installer le paquet apt-transport-tor, et d'ajouter les dépôts qui vont bien :
&nbsphttps://bits.debian.org/2016/08/debian-and-tor-services-available-as-onion-servi...

D'expérience ça fonctionne plutôt bien, mais le débit est plus faible qu'en HTTP (300ko/s chez moi).  C'est une sécurité supplémentaire par rapport au dépôt par défaut en HTTP, et elle ne coûte pas grand chose à mettre en place…

Avatar de DUNplus Abonné
Avatar de DUNplusDUNplus- 25/01/17 à 14:44:48

adrieng a écrit :

C'est une sécurité supplémentaire par rapport au dépôt par défaut en HTTP

Je n'ai pas compris en quoi c'est une sécurité ?

Avatar de t0FF INpactien
Avatar de t0FFt0FF- 25/01/17 à 14:50:48

Théoriquement, les packets en HTTP peuvent êtres lu, et modifiés. J'imagine que si il dis ça c'est que ça technique récupère les packets en HTTPS.

Avatar de adrieng INpactien
Avatar de adriengadrieng- 25/01/17 à 14:51:45

En HTTP tu es susceptible d'être écouté, et donc un attaquant dans ton réseau pourrait savoir si tu as téléchargé la dernière mise à jour de sécurité.

Avec tor la connexion est chiffrée, de la même manière qu'en HTTPS. Le petit plus : tu ne reposes pas sur une autorité de certification pour identifier le dépôt.

Accessoirement ça augmente l'utilisation de tor, ce qui permet aux connexions sensibles d'être un peu plus fondu dans la masse.

Avatar de Ricard INpactien
Avatar de RicardRicard- 25/01/17 à 15:10:11

A quand des dépôts en HTTPS par défaut tout simplement ?:francais:

Avatar de smousse42 INpactien
Avatar de smousse42smousse42- 25/01/17 à 16:29:41

La sécurité, on l a dans l onion

Je suis déjà parti

Avatar de smousse42 INpactien
Avatar de smousse42smousse42- 25/01/17 à 16:31:54

Je peux dire une bêtise, mais le client git est en HTTPS par défaut.

Bon ce n' est pas un repo de paquets linux, mais ça se fait

Avatar de ForceRouge INpactien
Avatar de ForceRougeForceRouge- 25/01/17 à 17:32:59

adrieng a écrit :

En HTTP tu es susceptible d'être écouté, et donc un attaquant dans ton réseau pourrait savoir si tu as téléchargé la dernière mise à jour de sécurité.

Avec tor la connexion est chiffrée, de la même manière qu'en HTTPS. Le petit plus : tu ne reposes pas sur une autorité de certification pour identifier le dépôt.

Accessoirement ça augmente l'utilisation de tor, ce qui permet aux connexions sensibles d'être un peu plus fondu dans la masse.

En https tu peux savoir ce qui a été téléchargé en comptant les octets transférés.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 25/01/17 à 18:17:34

ouais mais ça demande d'autres moyens. ^^

Il n'est plus possible de commenter cette actualité.
Page 1 / 2