OnionShare : partager des fichiers ou publier un site via Tor

OnionShare : partager des fichiers ou publier un site via Tor

Simple comme deux clics

Avatar de l'auteur
David Legrand

Publié dans

Internet

02/04/2020 5 minutes
8

OnionShare : partager des fichiers ou publier un site via Tor

Partager simplement un fichier depuis son PC, en toute sécurité, sans passer par un serveur tiers. Un rêve ? Non, c'est ce que propose OnionShare, qui nécessite de se connecter au réseau Tor.

Lorsque l'on pense aux manières de partager un fichier, certains réflexes ont la vie dure. Certains préfèreront l'email, d'autre un lien public vers leur espace Dropbox, Google Drive ou OneDrive. Ceux voulant un peu de sécurité passeront par un serveur maison ou des services avec chiffrement de bout-en-bout, à la manière de Firefox Send.

Mais on veut parfois aller plus loin pour limiter les traces laissées à l'occasion d'un transfert, sans pour autant chercher à trop se compliquer la vie. C'est pour cela que les développeurs gravitant autour du réseau Tor ont créé une petite application nommée OnionShare. Pensée pour la distribution Tails, elle est disponible sur d'autres plateformes.

Elle permet de partager un ensemble de fichiers, en pair-à-pair, à travers Tor et sous forme d'un simple lien. Mais aussi d'héberger et diffuser un site HTML statique. Voici comment faire.

Notre dossier sur le partage de fichiers :

Un petit outil à tout faire

OnionShare est une application d'une quarantaine de Mo, qui s'installe comme n'importe quelle autre, sous Linux, macOS et Windows. Open source, son code est disponible sur GitHub en licence GPL v3. 

La version 2.2, sortie en octobre dernier, a apporté l'hébergement des sites statiques, un compteur de vues, des améliorations de l'interface et autres correctifs. Sa refonte 2.x date de février 2019 avec depuis de nombreux ajouts, du mode réception à l'utilisation de la sandbox sous macOS, en passant par le mode public, la minuterie, etc. 

Un guide d'utilisation complet est disponible au sein de ce wiki. 

Partager un ou plusieurs fichiers

Une fois installée et lancée, l'application se présente sous forme d'une fenêtre unique avec quatre onglets principaux. Le premier permet le partage d'un ou plusieurs fichiers. La procédure est simple : effectuez un glisser-déposer des fichiers concernés, ou passez par le bouton Ajouter pour les sélectionner. 

Un large bouton vert apparaît alors : Commencer le partage. Cliquez dessus. Tout le nécessaire pour se connecter au réseau Tor a été installé avec OnionShare, vous n'avez donc rien de spécifique à faire. Vous pouvez renforcer les options ou tester la connexion via la section paramètre (accessible via la roue crantée quand le partage n'est pas actif).

L'application vous donnera alors une URL en .onion. Cela signifie qu'il faut être connecté au réseau Tor pour y accéder, par exemple via Tor Browser. Cette adresse est composée d'un nom d'utilisateur et de mots-clés aléatoires complémentaires (slug) pour limiter les risques de voir un tiers y accéder, en tentant des adresses possibles par exemple.

OnionShare 2.2OnionShare 2.2

Le mode public permet de se débarrasser de cette précaution, ce qui peut être nécessaire lorsque le partage ou l'adresse doit justement pouvoir être retrouvable par un tiers. Mais il fait surtout sauter une sécurité importante : en cas de tentatives d'accès infructueuses et répétées, OnionShare met fin au partage, sauf si vous êtes en mode public.

D'autres options sont possibles : utiliser une URL persistante pour qu'elle ne soit pas modifiée à chaque relance du partage, héritée (legacy), ajouter une minuterie de début ou fin du partage, tout stopper une fois les fichiers récupérés, etc. On regrette juste une chose : ne pas avoir un bouton pour renouveler l'URL directement en mode persistant.

OnionShare en mode réception

Il est également possible d'assurer un partage dans l'autre sens avec l'onglet Recevoir des fichiers. OnionShare sert alors à héberger un petit serveur qui permettra à un tiers de vous envoyer des données depuis une page web disponible sur le réseau Tor. L'application vous rappelle d'ailleurs de vous méfier avant de les lancer sur votre machine. 

Comme en mode réception, une petite flèche est disponible en haut à droite de l'interface. Elle affiche une liste des connexions en cours et de l'historique des données reçues ou envoyées selon les cas. 

OnionShare 2.2OnionShare 2.2

Héberger un site statique

Enfin, et comme évoqué plus haut, la version 2.2 de l'outil autorise l'hébergement d'un site. Celui-ci doit être statique, c'est-à-dire sans script s'exécutant sur le serveur. Il s'agit donc simplement d'y placer des pages HTML, des images, etc.

Là encore c'est assez simple puisqu'il suffit d'ajouter les fichiers comme pour un partage. L'adresse servira cette fois non pas à un téléchargement depuis Tor Browser, mais à afficher le site. Les possibilités sont limitées, mais pour héberger un blog statique via Tor, ce peut être une solution sans trop d'effort.

OnionShare 2.2OnionShare 2.2

8

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un petit outil à tout faire

Partager un ou plusieurs fichiers

OnionShare en mode réception

Héberger un site statique

Commentaires (8)


Chouette outil, merci du partage !


Dommage que la reception pour le destinataire ne se fasse pas depuis l’outil, ca aurait ete topissime.


Oui ça reste un des regrets, mais sans doute parce que le gros du mécanisme ça reste d’être de diffuser des fichiers via Tor (sous la forme d’une page web pour envoi/réception/consultation) alors que sinon il faudrait mettre toute une mécanique de connexion d’une app à une autre. 


Merci pour la découverte de cet outil👍


En effet, je n’y avais pas pense&nbsp;<img data-src=" />&nbsp;

Et merci pour la decouverte comme dit plus haut.


Merci pour cette découverte intéressante.



&nbsp;&gt; On regrette juste une chose : ne pas avoir un bouton pour renouveler l’URL directement en mode persistant.Est ce que vous avez regardé dans la liste des problèmes pour voir si cette demande a déjà été remontée. Sinon, n’hésitez pas à ouvrir un ticket ; on ne sait jamais, peut-être que ça intéressera un développeur pendant le confinement génralisé.


Je préfère utiliser IPFS, le problème est la limitation à 100mo


Sans en arriver à ce niveau de sécurité, pas mal d’organismes bancaires n’ont aucun moyen de téléverser en toute sécurité des documents confidentiels (certificats de naissance, livrets de famille …), liés à l’obtention d’un prêt.



Ils (les assurances de prêt, les banques et le courtier), demandaient d’envoyer le tout par courriel. Quand je leur ai dit que c’était comme si je leur envoyait sur une carte postale, il m’ont juste pris pour un illuminé complotiste.



C’est pas comme si cela permettait de se faire pirater son identité après tout…



Du coup, j’avais créé un espace sécurisé sur un serveur auto-hébergé pour éviter les problèmes. Et comme c’est moi le client, ils ont utilisé ma manière.