Luc : Décryptualité. Semaine 15. Salut Manu.
Manu : Salut Luc.
Luc : Directement le sommaire.
La Vie, « Y a-t-il une alternative aux Gafam ? La réponse de l’association Kaz », un article de Manon Boquen.
Manu : Ça parle du Morbihan et vraisemblablement il y a un chaton [1] qui est en train de s’installer, de se mettre en place. Ces bénévoles veulent essayer d’être utile tout autour d’eux. Toute une démarche pour mettre en place ce chaton. C’est plutôt sympa et ils ont peut-être besoin d’aide, allez les voir.
Luc : Bravo à eux !
Acteurs Publics, « Les communs numériques : la réponse que l’on attendait pour la souveraineté digitale de l’UE », un article de Thomas Belarbi.
Manu : Même une tribune. C’est plutôt intéressant. Il y a pas mal de trucs orientés entreprise, il faut dire, mais c’est plutôt pas mal.
Luc : Qui est Thomas Belarbi ?
Manu : Justement c’est un responsable de Red Hat, donc il y a toute une partie au début de l’article, toute une partie à la fin de l’article qui parlent de l’entreprise. Je ne sais pas si l’article restera parce que demain je vais voir avec Fred, le responsable de l’April avec lequel on discute de ça [L’article fait partie de la revue de presse, NdT]. L’article est plutôt pas mal par ailleurs.
Luc : Clubic.com, « Sécurité : les systèmes Linux sont-ils aussi invulnérables qu’on le pense ? », un article de Benoît Bayle.
Manu : Ça dépend de ce qu’on pense ! Ah ! Ah ! Ce n’est pas mal parce que oui, effectivement, il y a des vieux poncifs qui traînent qui disent que Windows est très mauvais en sécurité et que GNU/Linux est parfait en sécurité. Forcément, si on part sur ce genre d’alternative, c’est mal foutu. Windows s’est amélioré avec les années, GNU/Linux est utilisé et on se rend compte qu’il y a des problèmes, nécessairement. Il ne faut pas tout jeter, il ne faut pas prendre ça comme argent comptant. Il y a du travail à faire, il ne faut jamais s’arrêter.
Luc : C’est tout ce qu’on avait pour cette semaine, encore une petite revue de presse, il n’y a pas énormément de sujets.
Cette semaine le sujet sera Tor [2], on revient dessus, on en avait parlé indirectement parmi d’autres sujets il y a deux/trois semaines et on avait eu une remarque sur Mastodon de quelqu’un qui s’appelle adrienandrem [3], je ne sais pas comment il faut prononcer son pseudo, parce qu’on avait dit que Tor est quand même vachement lent. Il s’est insurgé, j’exagère un petit peu, il a dit que, de son expérience, ce n’est pas si lent que ça et que ça reste très utilisable. Merci à toi d’avoir remonté ça. On s’est dit que ça valait le coup d’aller tester par nous-mêmes. J’avais fait des tests il y a très longtemps. Allons-y, mettons-nous à la pratique.
On va peut-être rappeler rapidement ce que c’est que Tor.
Manu : Tor est un réseau en oignon avec des couches comme un oignon, The Onion Router, est ce routage en oignon essaye de garantir que comme il y aura plein de couches entre toi et le site que tu visites, eh bien ce sera très difficile de remonter à la source, sinon impossible parce qu’il y aura trop d’intermédiaires qu’il faudrait dépatouiller, il faudrait défaire l’oignon pour retrouver la source. C’est mission impossible.
Luc : C’est-à-dire que nos requêtes sur Internet pour aller visiter une page passent par plein de serveurs qui ne diront pas d’où vient la demande. Techniquement il y a plein de garantie là-dessus. On sait que s’il n’y a pas assez des serveurs, il est possible de retracer l’origine de la navigation. Ça ne protège pas également contre toute une série d’autres techniques, par exemple prendre des cookies. Si on est sur Tor et qu’on accepte tous les cookies, on a de bonnes chances de se faire tracer parce que ces cookies sont toujours dans notre navigateur et ils se promènent. Et plein d’autres méthodes, si on s’identifie sur un site ! Donc ça n’est pas la machine merveilleuse, en tout cas ça permet, si on est prudent et si on sait quand même un peu ce qu’on fait, que l’IP ne soit pas retraçable et qu’on ne puisse pas remonter à la source aussi facilement.
Manu : Ça se lance assez bien. Je suis sous Debian, l’installation est correcte, j’ai eu un petit truc ou deux.
Luc : En quoi consiste l’installation ?
Manu : Sous Debian c’est « apt install torbrowser-launcher » et ensuite il faut, à partir d’une petite fenêtre, lui dire de télécharger le navigateur Tor pour l’installer en local et ensuite lancer ce navigateur lui-même.
Luc : Si je traduis pour le commun des mortels, il y a un navigateur qu’on peut installer, quand on démarre Tor fonctionne déjà dedans. Ce qui veut dire que c’est très facile à utiliser, il n’y a pas besoin d’avoir des compétences techniques.
Manu : Première approche, c’est violet, c’est le fond d’écran qui a été mis en avant et, truc qui me paraît bizarre, il y a des bordures sur le côté. La résolution est figée. On a une résolution qui sera commune à tous les gens qui utilisent Tor.
Luc : Je suppose que c’est violet parce qu’on doit être en mode discret, je ne sais plus comment ça s’appelle dans Firefox, c’est le mode pour aller regarder des sites pour lesquels on ne veut pas laisser de traces sur son navigateur après. Il y a des bandes sur le côté parce que le navigateur s’ouvre dans une définition unique. Ça rejoint justement ce qu‘on disait tout à l’heure sur le fait qu’on peut tracer les gens de multiples façons, notamment en regardant la signature de leur machine. Typiquement, si on met plein d’informations, dont la taille de l’écran, qui sont récupérées par les sites qu’on visite, eh bien on peut quand même tracer quelqu’un par qu’il va avoir une sorte de signature. Là, en limitant à une seule définition, tout le monde la même donc on ne peut pas dire « tiens je reconnais, c’est la configuration de telle ou telle personne. »
Manu : Après ça, le moteur de recherche par défaut c’est DuckDuckGo [4] et pas Google, Bing, Yahoo, donc ce n’est pas mal.
Luc : Oui, tout à fait. On va se lancer pour faire nos tests qui sont très empiriques et on ne prétend aucune scientificité. On est donc chez toi Manu. Tu as une connexion web un peu merdique.
Manu : Oui, carrément ! J’attends la fibre depuis des années, peut-être qu’un jour le Petit Papa Noël ! On verra.
Luc : On va faire ces tests-là. Moi j’utilise mon ordinateur du boulot. Je ne pourrai pas aller sur tous les sites. Dans nos tests on a déjà essayé d’aller sur des trucs pas tout à fait légaux et j’ai reçu un gros avertissement de ma boîte, je ne contrôle pas ma machine. C’est du Windows caca. De mon côté je vais notamment couper mon anti-pub pour voir si des fois, au niveau de la vitesse, ça joue beaucoup ou pas.
Manu : Grand fou !
Première chose, on va sur Chapril [5]. On a ouvert un petit pad et on a une liste d’adresses sur lesquelles on va tester. Ça s’ouvre bien, oui, un petit peu lent, mais on pouvait s’y attendre, c’est le pad Chapril, il y a du JavaScript, il y a un petit peu de navigation à mettre en place pour le navigateur, mais ça fonctionne plutôt bien.
Luc : Je te propose qu’on le fasse en parallèle. On va l’ouvrir tous les deux en même temps, sachant qu’on l‘a déjà ouvert donc il est en cache. 3, 2, 1. Ça va beaucoup plus vite sur ton ordinateur que sur le mien !
Manu : C’est le cache !
Luc : Ça doit être est le cache ! En tout cas sur un pad du Chapril, on ne peut pas prétendre que Tor nous ralentisse, ça a plutôt l’air d’être l’inverse.
Qu’est-ce qu’on va se faire maintenant ? On va tester impots.gouv.fr, parce que nous sommes tous de bons citoyens. 3, 2, 1, top ! C’était sensiblement la même vitesse, ça a été aussi vite. On peut déjà dire qu’au moins pour partie des sites j’ai été mauvaise langue, donc je vais me flageller sur la place publique.
On essaye maintenant DuckDuckGo. 3, 2, 1, top ! Sur DuckDuckGo, j’ai pris beaucoup d’avance, ça a pris facilement deux secondes de plus pour toi donc avec Tor, mais ça reste finalement effectivement utilisable ; c’est un peu lent. Si on fait une petite recherche, si on cherche « Décryptualité », avec un accent aigu, un peu plus rapide sans Tor, mais effectivement on n’est pas, comme dans mon souvenir, où c’était inutilisable.
Manu : On essaye Google maintenant.
Luc : On va aller un peu plus sur des trucs un peu moins fréquentables. 3, 2, 1, top ! Tu es arrivé directement sur la page de recherche Google, ça va très vite. Moi j’arrive sur une page qui me dit qu’il faut que je valide des trucs avant d’accéder à la recherche. Probablement les histoires de cookies.
Manu : Oui, mais comme j’utilise probablement un nœud de sortie qui est utilisé par plein d’autres gens, peut-être que Google a déjà vu des gens qui ont utilisé Google et il a accepté, en quelque sorte, mon IP qui était stockée. Va savoir !
Luc : C’est possible. Je te propose de refaire la même recherche, 3, 2, 1, top ! J’ai été une demi-seconde plus vite. Encore une fois ça va très vite. Ce qui peut être rigolo c’est de regarder un petit peu les différences, c‘est-à-dire que toi tu ne trouves pas les mêmes choses que moi. Quand on cherche « Décryptualité » sur Google depuis mon ordinateur Windows « honnête », c’est le site april.org avec Décryptualité, c’est la page du site April, alors que toi c’est Radio Larzac [6] qui nous diffuse et c’est cette page qui passe en premier, donc c’est assez rigolo. Tu as des images qui s’affichent, moi je n’en ai pas. Donc c’est assez rigolo qu’en fonction de là par où on passe on n’a pas les mêmes résultats. Je suppose que dans mon cas il est identifié que je fais ma recherche depuis la France, ceci dit ce sont deux sites français également. Peut-être que l’April a une importance plus étendue au niveau du moteur de Google que Radio Larzac.
On va continuer dans les sites de libristes. On ne risque pas d’avoir de mauvaises surprises. On va faire linux.fr [7]. 3, 2, 1 top ! Une bonne seconde plus vite de mon côté, mais, encore une fois, Tor reste tout à fait utilisable.
Maintenant on va aller dans un truc un peu plus commercial. On a parlé de Reddit [8] la semaine dernière. Je te propose que nous y allions. 3, 2, 1, top ! C’est long ! Non, c’est à peu près pareil.
Manu : Il y a tellement des choses qui se chargent sur cet écran. C’est lourd, il y a plein de petites étiquettes et tout. J’ai l’impression qu’on a des parties qui ne sont pas chargées en même temps toi et moi, mais ça correspond, c’est à peu près équivalent.
Luc : Encore une fois on n’a pas la même page. Moi j’arrive sur une page par défaut, il y a des articles du subreddit France, essentiellement, plus les avertissements du RGPD [Réglement général sur la protection des données] pour les cookies, alors que tu as quelque chose de complètement différent.
Manu : J’ai des trucs pour l’amusement, des trucs funny. Effectivement je n’ai pas de demande concernant les cookies. C’est plus simple.
Luc : Des trucs funny, on voit un militaire israélien en train de mettre des coups de matraque dans les jambes d’un...
Manu : Tu n’as pas d’humour, c’est pour ça ! Voyons !
Luc : Autre truc, tu n’as pas eu de validation RGPD d’acceptation des cookies.
Manu : Là peut-être que c’est le navigateur, peut-être que c’est le site, un des deux, va savoir !
Luc : En tout cas ça montre encore une fois que ce qu’on voit quand on se connecte sur certains sites dépend de là où est, en tout cas sur ces sites commerciaux.
Maintenant on va aller sur des sites un peu plus commerciaux. On va tenter le site de la SNCF, comme si on voulait partir en week-end. 3, 2, 1, top ! C’est bon pour moi !
Manu : Moi ce n’est pas bon du tout. J’ai un, pas gros, mais j’ai un « Vous avez été bloqué » en plein milieu, ce n’est pas sympa !
Luc : Tu as été bloqué pourquoi, sale pirate ?
Manu : Va savoir ! Ils ont peut-être reconnu qu’en passant par le nœud de sortie de Tor que j’utilise nécessairement, il y a eu des problèmes et ils ont décidé de blacklister cette IP, c’est ce qu’il y a de plus probable.
Luc : Il y a quand même des explications sur l’écran du pourquoi de ce blocage : « Quelque chose dans le comportement du navigateur nous a intrigués. Diverses possibilités. Vous surfez et cliquez à une vitesse surhumaine. Quelque chose bloque le fonctionnement de JavaScript sur votre ordinateur. Un robot est sur le même réseau – il donne l’adresse IP –, que vous. Si vous ne réussissez à accéder au site, contactez le support, blablabla. » Donc là, effectivement, voyager anonymement ce n’est pas possible parce qu’il faut donner son nom quand on achète le billet. En tout cas visiter SNCF Connect avec Tor ça n’a pas l’air possible.
Manu : Je pense qu’on est arrivé aux limites. Ensuite il faut essayer, encore mieux, encore plus commercial, autre commercial, un des GAFA.
Luc : amazon.fr. Allons-y. 3, 2, 1, top ! Tu as gagné d’une courte tête. Bravo !
Manu : Ça fait plaisir. Enfin on reconnaît ma valeur !
Luc : Tu es en France également. Il a détecté que tu étais Français.
Manu : Non ! Que tu crois. Il a peut-être détecté que le navigateur est en français, mais en haut je vois qu’il pense que mon adresse de livraison est au Danemark.
Luc : OK ! Oui, donc tu es Danois, effectivement. On retrouve, comme c’est le Danemark, la validation des cookies. Donc tu as été un peu plus vite. Là-dessus, effectivement, Tor ne ralentit pas du tout. C’est assez impressionnant.
Maintenant il faut qu’on fasse des trucs un peu illégaux, je ne vais les faire sur mon ordinateur du travail, illégaux ou un peu limite, on va aller sur un site de Torrent pour pirater.
Manu : Aller, on essaye The Pirate Bay, c’est quand même l’original et, s’il ne s’ouvre pas, je suis le plus déçu du monde !
Luc : Ça s’est chargé extrêmement vite, il n’y a pas une seule pub qui s’affiche. Je pense que ce qu’il nous faudrait c’est un site avec vraiment beaucoup de pub. Je te propose qu’on prenne Cdiscount, site commercial avec vraiment des tonnes de pub dans tous les coins, on espère avoir quelque chose de bien sale. 3, 2, 1. Moi j’ai eu la page assez rapidement. Par contre toi, petite surprise, on te demande de cliquer pour prouver que tu es un humain. Ensuite on t’envoie des captchas sur lesquels tu dois dire sur quelles images il y a un hydravion. Donc il faut un minimum de vocabulaire. On a du mal à prouver qu’on est un humain parce que ce n’est quand même pas facile. Tu valides. Il a l’air d’accord.
Manu : Un hydravion c’est beaucoup quand même franchement ! J’avais déjà testé Tor sur Google et, pareil, je m’étais retrouvé genre cinq minutes à devoir remplir des captchas parce qu’il ne croyait pas que j’étais humain et/ou que je remplissais très mal les captchas.
Luc : C’est possible. Peut-être que tu n’es pas humain. Personnellement je n’ai pas de preuve absolue de ton humanité.
En tout cas ces tests montrent que j’avais absolument tort. Merci beaucoup à Adrien, je n’arrive pas à prononcer ton pseudo, de nous avoir dit qu’on se fourvoyait. Mon test d’il y a des années n’était pas fabuleux. On voit qu’on peut quand même avoir des difficultés sur certains sites, la SNCF particulièrement. Avec les gros sites commerciaux ça l’air de marcher, àvoir après si on fait des trucs plus en avant avec des commandes et des choses comme ça.
Manu : Il y a quand même des problématiques de réseau, de captcha qu’il faut remplir un peu plus souvent parce que les sites n‘ont pas confiance en nous. Effectivement, probablement que les nœuds de Tor par lesquels on passe ont été blacklistés pour x ou y raisons. Donc continuer à passer par ces mêmes nœuds c’est un petit compliqué. Normalement il y a moyen d’en changer. On peut essayer de réinitialiser le système de routage. On n‘en est pas là, mais c’est toujours bon à savoir. Si c’est très lent à un moment donné, si on a des blocages, il faut peut-être juste essayer un autre chemin.
Luc : On a fait d’autres tests par ailleurs, sur des sites d’information et dans l’ensemble, ça marche effectivement très bien et très rapidement. On a effectivement quelques petits ralentissements mais vraiment rien de rédhibitoire.
Manu : On n’a pas réussi à aller sur des sites de cul pour l’instant. C’est quand même un peu gênant pour nos tests. Je voulais pourrir ton ordinateur de boulot !
Luc : C’est comme ça que s’arrête un peu brutalement notre podcast. On a eu un souci d’enregistrement. Je précise qu’au montage j’ai raccourci les temps d’attente pour que ce soit un peu moins long à l’écoute.
Je souhaite à tout le monde une très bonne semaine , en mon nom et en celui de Manu.