Facebook « caché » dans Tor : pourquoi c’est une très bonne nouvelle

Vendredi 31 octobre, Facebook a annoncé le lancement d’une « expérimentation » permettant à ses utilisateurs d’accéder à ses services directement depuis le réseau Tor. Comme l’a très bien résumé le journaliste Andy Greenberg dans Wired : « Le site le moins anonyme au monde vient juste de rejoindre le réseau le plus anonyme du Web. »

fbtorTechniquement, la connexion à l’infrastructure de Facebook passe par un service caché (hidden service), autrement dit un serveur accessible uniquement via Tor, à cette adresse : https://facebookcorewwwi.onion. La manière de faire la plus simple est d’utiliser le Tor Browser. Jusqu’ici, ça fonctionne, moyennant une double authentification à la première connexion. Rien que de très logique — dans le modèle de sécurité de Facebook, qu’un utilisateur se connecte depuis Austin, Stockholm et Berlin (ce qui est le principe du réseau d’anonymisation) dans la même journée entraîne une suspicion de piratage de compte. C’est l’une des raisons qui rendaient l’accès à Facebook via Tor problématique, avec le blacklistage de certains nœuds de sortie (Le problème se pose, de la même manière, pour beaucoup de services de Google.)

La mise en place de ce « Facebook caché » a d’ores et déjà fait couler beaucoup d’encre parmi les spécialistes en cryptographie, en sécurité informatique, les hacktivistes, et plus généralement les internautes qui s’intéressent de près à la confidentialité en ligne. Sur les aspects les plus techniques — l’obtention par Facebook d’une URL qui « fasse sens », alors que c’est une clé de chiffrement aléatoire ; ou encore le fait qu’une autorité de certification ait, pour la première fois, émis un certificat électronique pour une adresse en .onion — je renvoie au post de Roger Dingledine, l’un des principaux développeurs de Tor, qui y répond très précisément.

Ce qui m’intéresse ici, ce sont les aspects plus politiques de ce débat. Dès qu’on parle de vie privée, Facebook — avec son hypercentralisation, ses conditions d’utilisation léonines et son appétit de données personnelles (son business model, sa raison d’être) — fait figure de repoussoir. Faut-il, pour autant, considérer cette initiative comme au mieux absurde, au pire dangereuse ? Certainement pas — et c’est même une excellente nouvelle.

1. Non, utiliser Tor pour aller sur Facebook n’est pas « absurde ».

Pourquoi utiliser un réseau d’anonymisation pour aller sur « le site le moins anonyme au monde » ? Parce que, comme le souligne Dingledine au tout début de son billet :

« L’anonymat ne consiste pas seulement à se cacher de sa destination. »

En se connectant à Facebook via Tor, la seule indication qu’on donne à son fournisseur d’accès (ou à quelqu’un qui intercepterait la communication), c’est… qu’on utilise Tor. (Voir la très didactique infographie de l’Electronic Frontier Foundation). C’est déjà en soi une donnée sensible, notamment en cas de blocage de Tor, et c’est pour cette raison qu’il existe des bridges, des relais non publics. En utilisant en prime le hidden service de Facebook, on ne transmet des informations qu’à Facebook, moins sa localisation 1.

Qu’on considère problématique en soi de transmettre des informations à Facebook ; qu’on soit en droit de critiquer son modèle économique, ou sa politique anti-pseudonymat ; il n’empêche que pour les internautes qui souhaitent utiliser Facebook comme outil de communication, passer par Tor est la solution la plus simple, et la plus solide, quand l’accès au réseau social est bloqué — comme c’est le cas en Iran ou en Chine. Tout le monde n’a pas le même modèle de menace.

L’équipe du Tor Project en est d’ailleurs si consciente que, lorsque les connexions à Facebook via Tor se retrouvent bloquées comme ç’a été le cas en juin 2013, ils font en sorte de régler le problème le plus vite possible.

Tor n’est pas seulement un outil d’anonymisation, c’est aussi un remarquable outil de contournement de la censure, dans des pays où elle ne vise pas seulement — par exemple — les « sites internet faisant l’apologie du terrorisme ou y provoquant ». C’est d’ailleurs à ce titre que le Tor Project est financé par le Bureau de la démocratie, des droits de l’homme et du travail du Département d’État des États-Unis. Tor propose une privacy by design dont les usages peuvent être extrêmement variés — comme Internet. Dingledine, encore :

« Quelle que soit l’idée que vous vous faites de ce à quoi Tor sert, vous pouvez être certain que quelqu’un en a une utilité à laquelle vous n’aviez pas pensé. »

2. Corollaire : non, les utilisateurs de Facebook ne sont pas nécessairement des inconscients (ou des victimes).

zuckie« Cela fait peut-être se dresser les cheveux sur la tête de certains d’entre nous, écrit l’un des participants à la mailing-list Liberation Technology, mais il est de notoriété publique que des protestataires entrent en contact et organisent des actions en utilisant Facebook. »

Qu’ils le fassent via l’outil le moins respectueux des droits des utilisateurs sur leurs données ne signifie pas pour autant qu’ils n’ont pas conscience du problème. Le penser est au mieux aveugle, au pire extraordinairement méprisant. Sur cette même mailing-list, Eleanor Saitta, membre du conseil d’orientation de la Freedom of the Press Foundation, qu’on peut difficilement soupçonner de la moindre sympathie pour la petite entreprise de Mark Zuckerberg, l’a rappelé en une formule lapidaire :

« Si vous essayez de faire passer un message politique, vous devez aller là où est le public, et ça veut dire sur Facebook comme ailleurs. »

C’est embêtant ? Oui, et c’est bien pour ça qu’il faut encourager les alternatives libres, attachées aux droits des utilisateurs. En attendant, si même les hackers des pays du Printemps arabe sont sur Facebook, c’est bien parce que l’enjeu (collectif) de la communication leur semble plus fondamental que le contrôle (individuel) absolu sur leurs données. Ce n’est pas de l’inconscience, c’est un compromis qu’ils jugent nécessaire. Un développeur comme Nadim Kobeissi l’a bien compris, qui propose avec Cryptocat une manière simple de chiffrer de bout en bout ses conversations avec ses contacts Facebook.

Ne considérer les utilisateurs de Facebook (ou de Google, ou d’autres) qu’à travers le prisme de la sujétion, c’est nier la plasticité des usages — voir, par exemple, les travaux de danah boyd sur les adolescents et les réseaux sociaux, ceux d’Antonio Casilli sur la « privacy en tant que négociation » ou ceux de Dominique Cardon sur le « design de la visibilité ».

On pourrait presque paraphraser Dingledine : quelle que soit l’idée que vous vous faites de ce à quoi Facebook sert, vous pouvez être certain que quelqu’un en a une utilité à laquelle vous n’aviez pas pensé — une utilité qui échappe, au moins partiellement, au biz model de l’entreprise. Un détournement.

3. Oui, c’est une bonne nouvelle pour le réseau Tor.

Dire que Tor souffre d’un déficit d’image est un euphémisme. Nous avons été suffisamment abreuvés de reportages sur le « Darknet », d’une rigueur parfois toute relative — je me souviens de ce journaliste ayant acheté « anonymement » de la drogue en bitcoins, après avoir ouvert un compte… en fournissant une pièce d’identité. Les services cachés, en particulier, sont plus souvent associés à la vente d’armes ou de services de piratage de comptes qu’au système de soumission de documents confidentiels du New Yorker.

tortor

Que le réseau social le plus mainstream du Web ouvre un hidden service ne va pas nécessairement entraîner à très court terme une augmentation massive du nombre d’utilisateurs de Tor, mais ça change, à tout le moins, la perception même de l’usage du réseau d’anonymisation.

Que Tor sorte de la marginalité, et on trouverait certainement quelques nostalgiques — tout comme il y a des nostalgiques de l’Internet de 1997, à 100 millions d’utilisateurs, tellement plus fréquentable. Or s’il y a aujourd’hui des discussions entre le Tor Project et l’Internet Engineering Task Force, ou avec la Fondation Mozilla, qui développe Firefox, c’est bien parce que le design de Tor apparaît comme un modèle de « minimisation des données » ou de navigation privée « renforcée » à explorer.

Pour ceux qui pensent qu’il est urgent de sortir du paradigme d’un Internet transparent par défaut, en développant du clair-obscur (et pas seulement de l’opacité totale, ce qui est infiniment plus difficile), l’expérience de Facebook — quelles qu’en soient d’ailleurs les motivations — a, au minimum, une portée symbolique. Et les symboles, ça compte.

4. Oui, c’est une bonne nouvelle pour Internet.

Il est tentant de voir dans la naissance de ce « Facebook.onion » une initiative purement opportuniste — du travail d’image post-PRISM à l’ouverture de nouveaux marchés dans les pays en butte à la cybercensure, en passant par le soft power. Et quand bien même ? Ce que ça dit, c’est que pour les géants de la Silicon Valley, la vie privée a désormais une valeur.

Ce n’est certainement pas pour de pures considérations éthiques que depuis « l’affaire Snowden », la plupart des fournisseurs de webmail sont passés au protocole HTTPS, rendant, de fait, le réseau un peu plus sûr pour tout le monde. Si demain Google décidait de déployer le chiffrement de bout en bout des e-mails, ce serait évidemment moins fiable que d’utiliser GnuPG sur sa propre machine en ayant son courrier chez soi ou chez un petit hébergeur de confiance — mais ça pourrait améliorer l’ordinaire pour quelques millions de personnes. (Et le fait est que, malgré l’apparente contradiction avec leur modèle économique, ils font plus qu’y réfléchir.)

On ne réglera pas le problème de la surveillance de masse en dehors des entreprises qui se taillent la part du lion dans le trafic Internet — tout simplement parce que c’est là qu’est la majorité des utilisateurs. Ce qui ne signifie en rien qu’il faille donner quitus à ces entreprises, ou qu’il ne faille pas proposer autre chose à leurs utilisateurs.

Faire pression sur les géants du Net, comme le martèle un Chris Soghoian (analyste pour l’American Civil Liberties Union), sans cacher les limites de l’exercice, relève plus de la tectonique des plaques que de la pureté axiologique. À court terme, on peut difficilement s’en passer.

Runa Sandvik, la chercheuse américaine qui travaille avec le Tor Project et a conseillé Facebook pour son service caché, veut voir dans cette mise en place « le signe que Tor pourrait être le prochain outil de protection de la vie privée que les entreprises de la Silicon Valley devront proposer à leurs utilisateurs ». On peut — tout en étant totalement convaincu de la nécessité de « déconcentrer Internet » et de développer des modèles respectueux des données personnelles — considérer que ce serait un gain net pour les internautes.

  1. (MÀJ) Pour répondre à quelques remarques lues sur Twitter : oui, bien sûr, on signale ainsi à Facebook qu’on utilise Tor — mais c’est déjà le cas lorsqu’on se connecte à Facebook via Tor sans passer par le hidden service. Et on signale aussi à son FAI, ou le cas échéant à son fournisseur de VPN, qu’on utilise Tor…

11 commentaires:

  1. J’en conclue 2 choses :
    – soit il s’agit d’un superbe Honey Pot
    – soit l’anonymat sur Tor est d’ores et déjà compromis depuis un bout de temps

  2. Sauf que :
    — Un honeypot n’a d’intérêt que s’il sert à récupérer des informations. Or Facebook a par définition toutes les infos qu’on lui donne, ce n’est pas un service anonyme. Quand la connexion passe par Tor, FB le sait (comme tout site auquel on se connecte via Tor, d’ailleurs). Le hidden service rend l’usage de FB via Tor plus simple, sans apporter aucune information supplémentaire.
    — Il se trouve toujours des gens pour le suggérer — sans apporter, jusque là, la moindre preuve. Dans ce cas précis, la connexion n’étant par définition pas anonyme du point de vue de FB, je ne vois pas en quoi cela peut apporter de l’eau au moulin des « Tor-sceptiques »…

  3. Honnêtement; qui utilise Facebook?
    La blanchisserie du coin s’est inscrit? Le coiffeur? Mon grand-père a un compte à 90 ans?
    Mais c’est c o m m e r c i a l !

    Et si on est pas un commerce, on se deinscrit.

    Voilà, la pluart des gens que je connais sont sur ello.co
    Depuis les révélations hier, on s’épargne le https … le VPN etc.

    1. Je n’utilise pas Facebook… et je suis une exception autour de moi, à tel point que je suis la seule personne qu’on prévient par tel quand un événement se prépare, puisque les autres le communiquent via leur profil.
      Je me suis inscrit sur ello… et il ne suffit pas de dire « nous ne sommes pas Facebook » pour faire quelque chose « mieux que Facebook ». Ce site, paradoxalement conçu « pour les artistes », est une horreur anti-ergonomique.
      Comme alternative entre les deux mondes, j’ai testé Diaspora. Très bon concept, le réseau décentralisé, simplement pas encore assez mûr et surtout je ne supporte pas le système de tags à la twitter qui me noient sous des infos non-désirées de personnes que je n’ai jamais rencontré.

      Facebook a défini la norme et est encore très largement utilisé, on peut sortir de Facebook vers un autre système seulement si le public se trouve sur l’autre système en question. Même le tout-puissant Google avec Plus n’a pas réussi à laisser une petite empreinte sur cette main-mise.
      Il y a plus de chances à parier que Facebook coulera simplement quand la génération suivante voudra « autre chose », comme c’est arrivé à myspace en son temps.

  4. C’est une putain de blague, ils demandent une confirmation par numéro de téléphone lors de l’inscription.
    Su-per d’utiliser tor si c’est pour devoir donner sa ligne privée.

  5. A quoi ça sert d’utiliser TOR pour accéder à un site lorsque ce dernier exige qu’on lui donne notre identité, y compris notre nom et notre numéro de téléphone ! C’est une tromperie de publicité et de propagande ni plus ni moins. Moi, personnellement, je suis contre tout site qui ne respecte pas l’anonymat de ses utilisateurs, les espionne, enregistre leurs communications et ne protège pas leurs données. Je suis propriétaire d’un petit cybercafé et je sais, par conséquent, de quoi je parle. En plus, les catastrophes sociales, le harcèlement sexuel, le piratage, le chantage et les divers scandales sur Facebook sont un système, une routine, une affaire quotidienne et les familles en payent le prix. Je n’utilise pas ce site et je le déconseille à tout le monde jusqu’à ce qu’il change radicalement de politique.

    1. je suis d accord facbook est une passoir.. ils m ont bloqué 11 fois pour nudité acte sexuel et anus.. oui oui.. j ais la copie des messages… et bien sur je poste pas cela… 5 compte bloqué.. je lâche rien j en ouvre un autre vérifier si les autres existe encore on sais jamais… avec un nouveau compte vous avez même accès au gens bloqué.. je surveille lol… par contre vous signalé a book des truc jamais ils ne réagisse .. si mais ils disent non ya pas de problème avec notre politique… un scandale je parle pas des menace et insulte signalé et je dit même que j ais des enfants devant l écran jamais j ais eu raison même en signalent au service au dessus de rapport…. tor je l ais sur androïde.. mais je ne me connecte pas avec duckduck.. mais googel.. mon tor vpn allumé… sa passe… mais si je me connecte de mon pc.. ou j ais instaler tor.. et passe par duckduck.. mon mot de passse n ais pas reconnu.. j insiste pas ils vont me bloqué le compte je pense… j ais essayer avec google a coté.. même mot de passe et adresse ça marche… vous savez comment mettre juste le vpn tor sur pc? j arrive pas.. je serais heureux d échanger avec vous cordialement.. bien a vous

    2. ha oui.. j oubliais.. j ais jamais mais jamais donné de vrai infos en ouvrent un compte Facebook.. ni Hotmail ou Outlook.. je met jamais mon vrai nom ville d origine pays ou photo.. ni tel rien.. j ais eu des vérification ou ils me demande mon identité carte et photo.. j ais laisser tombé..j avoue j ais abuser.. yen as qui mérite donc mal parler et bloqué.. seul fois ou ils ont demander vérification pour récupérer le compte bref adieu le compte ..m en fou j en ouvre un autre.. c est chiant parsque je fait du son électronique et sa me sert de sauvegarde facebook et aussi le partage.. c est pas grave j ais mon travail sur pc enregistré.. voila pour vous dire je comprend pas quand vous parlez de donné des info… jaaaamais mon ami.. ils n ont que mon ip.. les flic une fois je me suis fait avoir a cause d insulte ils ont mis 6 mois a me tracé sans vpn hein.. et ils n avais même pas la bonne adesse j avais déménagé

  6. excusez moi.. mais sur pc tor ne marche pas pour facebook.. il ne reconnais pas le pass identifient… j ais essayer avec le meme sur googl sa marche.. normal? .. sur androïde j ais que le vpn.. et sa marche.. je suis pas un pro.. qui peux m éclairer?
    sur androide je passe par googel pour me connecté a facebook.. et vpn allumer… autre question? je trouve pas l interface vpn tor sur mon navigateur googel.. je passe pas par duckduck meme pas sur androide…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.