Au cours des deux décennies qui ont suivi l’introduction publique du navigateur Web Tor, il a fait l’objet d’éloges et de notoriété. Les partisans vantent le logiciel gratuit et open source pour sa facilité d’accès au contenu Web de manière sécurisée et anonyme. Mais Tor a également attiré l’attention pour son utilisation comme outil permettant d’accéder à des contenus potentiellement illégaux sur le dark web.
Pour les entreprises qui envisagent d’autoriser ou non leurs employés à utiliser Tor dans le cadre de leurs responsabilités quotidiennes, il est important de comprendre les avantages et les inconvénients du navigateur. Examinons comment utiliser Tor et voyons où cela pourrait fonctionner dans des situations d’entreprise.
Qu’est-ce que le navigateur Tor ?
Abréviation de The Onion Router, le navigateur Web Tor est basé sur Firefox. Il offre aux utilisateurs des couches supplémentaires de sécurité et d’anonymat lors de la navigation sur des sites Web. Il y parvient de deux manières : premièrement, en utilisant un réseau de relais spécifique à Tor pour transmettre des informations et, deuxièmement, via des paramètres de sécurité verrouillés.
Les gens utilisent Tor lorsqu’ils ne veulent pas que leurs adresses IP soient identifiées ou lorsqu’ils ne veulent pas que leurs activités sur le Web soient tracées – souvent dans des situations où ils craignent d’être persécutés par le gouvernement ou d’autres sources de suivi.
Les utilisateurs vont des militants politiques et des journalistes à ceux qui effectuent des transactions illicites, en passant par les résidents de pays où la liberté d’expression ou d’autres activités sont restreintes.
Si votre organisation opère dans ces domaines – en dehors des activités illicites, bien sûr – ou si vous vous souciez beaucoup de la confidentialité en ligne, alors Tor pourrait être fait pour vous.
Comment fonctionne Tor
Tor utilise une combinaison de cryptage et de routage pour masquer l’activité Web. Un réseau mondial de relais Tor, géré par des bénévoles, achemine le trafic Web. Ces relais contribuent à donner à chaque connexion une apparence identique, empêchant ainsi les identifiants uniques d’un trafic spécifique d’indiquer l’origine de ce trafic.
Tor n’inclut qu’un seul plugin – NoScript – et décourage l’utilisation de tout autre. Les plugins peuvent réduire l’anonymat ou exposer des informations en fonction de leurs fonctionnalités. Ils peuvent également introduire des vulnérabilités dans le navigateur. De nombreuses organisations restreignent déjà l’installation de plugins pour Flash, QuickTime et d’autres services, cette contrainte ne pose donc probablement pas de problème pour votre entreprise.
NoScript permet aux utilisateurs de sélectionner des sites de confiance autorisés à exécuter du JavaScript ou un autre code, un paramètre beaucoup plus restrictif et sécurisé. Il est installé et activé par défaut dans Tor et disponible pour d’autres navigateurs afin de contribuer à réduire les problèmes de sécurité liés aux scripts, tels que les scripts intersites.
À sa fermeture, Tor supprime l’historique de navigation, les cookies et autres éléments impliqués dans le suivi des activités d’un utilisateur. De nombreux utilisateurs implémentent déjà ces paramètres de sécurité supplémentaires sur le navigateur de leur choix, notamment Chrome, Safari et Firefox. Tor exhorte fortement les utilisateurs à s’abstenir de modifier ces paramètres ; cependant, sachez qu’ils limitent la capacité des utilisateurs à visualiser certains contenus Web.
Tor dans l’entreprise
Malgré tous ses atouts en matière d’anonymat et de sécurité, Tor constitue un choix de navigateur peu probable dans de nombreux environnements d’entreprise. La plupart des entreprises resteront probablement fidèles aux navigateurs populaires pour diverses raisons, allant même au-delà des préoccupations de Tor en matière de confidentialité et de sécurité. D’une part, en raison de la conception physique du réseau Tor – des connexions doivent être établies entre chaque relais – la navigation sur Tor est sensiblement plus lente. Les limitations des plugins et des scripts peuvent frustrer les utilisateurs pour des tâches sans exigences de confidentialité.
Cependant, dans de bonnes circonstances, Tor pourrait être une option viable.
Cas d’utilisation de Business Tor
Tor peut être adapté à des utilisations incluant des restrictions d’expression, des sujets controversés ou des activités juridiques/criminelles, y compris des enquêtes. Parmi eux figurent les suivants :
- Journalisme. Les journalistes et autres fournisseurs d’informations qui opèrent dans des pays qui interdisent la transmission d’informations particulières pourraient bénéficier de l’anonymat et du réseau de relais de Tor.
- Activisme. La sécurité accrue de Tor et sa capacité à cacher l’identité des utilisateurs en font un choix pratique pour les militants politiques ou les lanceurs d’alerte qui souhaitent faire la lumière sur des activités commerciales douteuses. Une telle communication doit souvent être camouflée pour éviter que les personnes impliquées ne soient menacées.
- Développement d’applications de sécurité. Les développeurs travaillant sur des projets spécifiques à la sécurité peuvent souhaiter cacher leur identité lors de leurs recherches. Ils pourraient également avoir besoin de tester des applications dans le contexte des relais Tor et du chiffrement. Si votre organisation se penche en profondeur sur les communications sécurisées, Tor pourrait être un utilitaire utile.
- Enquêtes des forces de l’ordre. Les enquêteurs qui mènent des activités criminelles sur Internet ou sur le Dark Web pourraient découvrir que Tor les aide à conserver l’anonymat et à maintenir leur couverture.
Ces rôles ne représentent qu’un sous-ensemble des utilisateurs Internet courants, mais ils représentent des secteurs dans lesquels une sécurité Web supérieure et au-delà est essentielle.
Problèmes juridiques
L’installation et l’utilisation du navigateur Tor en soi ne sont généralement pas contraires à la loi, bien que le navigateur puisse enfreindre les politiques d’utilisation acceptables au sein d’une entreprise. Les problèmes juridiques sont plus susceptibles de découler de la manière dont les employés utilisent Tor plutôt que du fait qu’ils l’utilisent. Ce sujet devient vite trouble. Parfois, vous avez affaire au droit international et à l’accès au dark web.
Les employés doivent-ils utiliser Tor ?
Décider d’autoriser ou non les employés à utiliser le navigateur Tor est un exercice de gestion des attentes. L’expérience d’utilisation du navigateur Tor diffère de celle d’un navigateur Chrome ou Firefox moins sécurisé et doté de modules complémentaires.
Discutez des problèmes clés suivants avec les utilisateurs finaux :
- Vitesses de navigation plus lentes. En raison du routage plus détourné de Tor, les sites ne répondent pas ou ne se chargent pas aussi rapidement.
- Multimédia bloqué. Les scripts, clips multimédias et autres conceptions de sites « flashy » ne se chargent probablement pas ou ne s’exécutent pas correctement dans Tor.
- Utilisation acceptable. Tor rend difficile pour les équipes de sécurité de suivre l’utilisation du Web par les employés, ce qui augmente le risque que les ressources de votre entreprise soient utilisées dans des activités en ligne peu recommandables. Discutez-en avec les utilisateurs pour les éduquer.
- Sites bloqués. Les points de sortie des utilisateurs de la structure de relais de Tor font apparaître leur point d’origine comme provenant d’une autre partie du monde. Les banques et autres sites pourraient restreindre l’accès depuis ces régions du monde pour sécuriser les ressources. Les utilisateurs pourraient être obligés de mettre à jour leurs informations d’identification ou de profil lorsqu’ils utilisent Tor.
Il est peu probable que les gens utilisent Tor pour tous leurs besoins de navigation. Au lieu de cela, ils l’utiliseront probablement pour des tâches spécifiques liées à des exigences de sécurité particulières.
Si votre organisation décide d’autoriser l’utilisation de Tor, assurez-vous que son service d’assistance est prêt à aider les utilisateurs à surmonter toutes les difficultés liées à la croissance lors du démarrage avec Tor. Le projet Tor fournit de nombreuses ressources en ligne pour apprendre les tenants et les aboutissants du navigateur.
Si votre organisation décide d’interdire Tor, communiquez-le clairement au personnel et incluez-le dans les politiques de sécurité et d’utilisation acceptable.
Avantages et inconvénients de Tor dans l’entreprise
Les circonstances de votre organisation déterminent si Tor est une option viable. Voici quelques avantages et inconvénients potentiels liés à l’autorisation de Tor dans votre environnement professionnel.
Les avantages potentiels sont les suivants :
- Confidentialité accrue lors de la navigation et de la recherche de sujets douteux en ligne.
- Confidentialité accrue après la navigation en supprimant les cookies et autres paramètres.
- Anonymat de navigation.
- Prise en charge multiplateforme solide pour Linux, macOS, Windows et Android.
- Configuration par défaut relativement sécurisée.
Les inconvénients potentiels sont les suivants :
- Expérience de navigation plus lente.
- Moins d’améliorations de navigation, telles que le multimédia et les scripts.
- Les points de sortie du réseau de relais Tor pourraient toujours exposer des informations.
- Tor est construit sur Firefox et peut inclure ses failles de sécurité.
- Les ressources de support technique pourraient être plus importantes.
- Les FAI savent quand Tor est utilisé et peuvent vous signaler aux forces de l’ordre pour un examen plus approfondi.
- Certains sites peuvent bloquer Tor, surtout si les points de sortie proviennent d’emplacements distants.
- Risque accru que les ressources de l’entreprise soient utilisées dans des transactions illicites.
- Exposition accrue potentielle aux logiciels malveillants.
- Difficile d’appliquer la politique d’utilisation acceptable de votre organisation.
Comment installer Tor
L’installation de Tor est simple. Le navigateur prend en charge plusieurs langues, une considération cruciale pour les personnes utilisant le logiciel dans des pays où l’accès au Web est restreint. Sa prise en charge multiplateforme (téléchargements Linux sous forme d’extrait .tar, les utilisateurs Mac reçoivent une image disque .dmg et Windows s’appuie sur une application .exe traditionnelle) rend Tor facile à déployer sur les postes de travail des utilisateurs finaux et utilisable dans presque toutes les entreprises. environnement.
Une version officielle d’Android est disponible pour les utilisateurs mobiles. Aucune version officielle iOS n’est disponible, mais les utilisateurs d’iPhone et d’iPad peuvent télécharger l’application Onion Browser depuis l’App Store d’Apple. Les utilisateurs de ChromeOS, quant à eux, peuvent télécharger l’application Android Tor. Il affiche la version mobile des sites Web, mais cela ne devrait pas poser de problème pour la plupart des utilisateurs.
Le site Tor fournit de la documentation, notamment une FAQ complète et un manuel d’utilisation. La FAQ couvre un large éventail de questions, de l’installation de Tor au support relais en passant par les modules complémentaires. Le manuel d’utilisation fournit des procédures plus détaillées pour configurer les options, telles que les ponts et la gestion des identités. De nombreuses informations sont disponibles pour votre service d’assistance afin d’aider les utilisateurs du navigateur Tor.
Un pontage de la connexion peut être nécessaire dans certains environnements réseau. Choisissez parmi plusieurs ponts intégrés ou configurez le vôtre.
Tor utilise par défaut DuckDuckGo plutôt que Google, dont le moteur de recherche suit de manière approfondie les informations des utilisateurs.
Les utilisateurs doivent vérifier les politiques de sécurité et d’utilisation acceptable de leur organisation pour déterminer s’ils sont autorisés à utiliser Tor avant de suivre ces instructions de téléchargement.
Les fonctionnalités de Tor séduisent les utilisateurs soucieux de leur sécurité. Bien que ce ne soit pas adapté à tous les environnements professionnels ou utilisateurs, l’engagement de Tor en faveur d’un accès Web anonyme et privé peut en faire un outil efficace dans la bonne situation.
Damon Garn est propriétaire de Cogspinner Coaction et fournit des services indépendants de rédaction et d’édition informatique. Il a rédigé plusieurs guides d’étude CompTIA, notamment les guides Linux+, Cloud Essentials+ et Server+, et contribue largement à l’éditorial TechTarget et aux blogs CompTIA.