Gestion d'un relai de sortie Tor

Salut !

Je me tâte depuis quelques temps à me lancer dans l’installation, la configuration et la maintenance d’un relai de sortie Tor sur le long-terme. Le but n’est pas que de m’imposer ce challenge mais aussi de proposer un service neutre (puisque je n’ai clairement pas d’intérêts (ni l’envie) à sniffer tout ce qui sort du réseau).

Suite à ça, j’en ai discuté avec un ami qui m’a clairement déconseillé d’entreprendre ce projet en France car l’hébergeur de la machine peut se décharger sur moi si un petit malin s’est servi du noeud à des fins illégales. Autrement dit, selon lui, je pourrais être considéré comme complice de cette personne, même si je n’ai aucune idée de ce qu’un utilisateur peut faire avec mon noeud (puisque c’est chiffré, et que je n’ai pas les moyens de le bruteforce).

Bref, ça, c’est son point de vue. Toutefois, je ne suis pas juriste (et connais assez mal les lois à ce sujet) donc je ne sais pas quoi en penser. D’un côté, si je pars du postulat qu’il a raison, je ne peux pas prendre un risque aussi grand (quand bien même j’aimerais apporter ma pierre à l’édifice) mais de l’autre si c’est faux, c’est un relai de sortie sûr en moins.

Pour ma part, je suis plutôt partisan de l’idée que ce n’est pas parce qu’une solution apporte des soucis que ça doit occulter les avantages. La décision doit se faire après avoir pesé le pour et le contre.

Du coup, si une âme charitable ayant de l’expérience en droit peut m’éclairer, je suis preneur.

Merci pour les liens, ça a l’air vraiment intéressant !

mais clairement pour entreprendre ce genre d’hébergement, le mieux est de se tourner vers des associations comme nos-oignons.

Ouais j’ai cru comprendre que, pour un particulier, c’était un peu casse-gueule. Je vais y jeter un œil.

Tu vas devenir fournisseur d’accès à un réseau qui peut contenir tous types de données, ton ami est de bon conseille. Après c’est difficile de qualifier un nœud TOR juridiquement, tu n’héberges pas vraiment de contenu mais tu y autorises l’accès.

https://www.service-public.fr/particuliers/vosdroits/F32075

Déjà tu entraves le fait de pouvoir reconnaître l’auteur :

L’hébergeur doit toutefois permettre à la justice d’identifier le ou les auteur(s) du contenu incriminé.

De ce que j’ai lu le retrait de contenu doit être fait avant de porter plainte (ici il n’y a aucun contenu a retirer).

Par contre pour les contenus contres les mœurs/illégaux, tu as de forte chance de te faire entraîner dans la roue judiciaire en cas de soucis bien que je pense que le risque est extrêmement faible.

Tu vas devenir fournisseur d’accès à un réseau qui peut contenir tous types de données

Exactement comme un hébergeur qui propose à ses clients de louer ses machines. Ce n’est pas spécifique à Tor. La différence, c’est que l’hébergeur d’une machine peut se décharger sur son client (CGU) alors que moi non, puisque je ne sais pas qui utilise ce service.

Par contre pour les contenus contres les mœurs/illégaux, tu as de forte chance de te faire entraîner dans la roue judiciaire en cas de soucis bien que je pense que le risque est extrêmement faible.

Justement, c’est ça que je ne comprends absolument pas. Comment je pourrais être tenu pour complice d’actes illégaux sachant que je fournis un service qui ne m’apporte rien et sans même connaître les utilisateurs ? En fait, ce serait comme incriminer un vendeur de marteau parce qu’un acheteur a cassé une vitre avec l’un des siens, c’est n’importe quoi… (selon moi)

edit: Je comprends pas bien le downvote sur mon post initial, mais ok d’accord !

Justement, c’est ça que je ne comprends absolument pas. Comment je pourrais être tenu pour complice d’actes illégaux sachant que je fournis un service qui ne m’apporte rien et sans même connaître les utilisateurs ? En fait, ce serait comme incriminer un vendeur de marteau parce qu’un acheteur a cassé une vitre avec l’un des siens, c’est n’importe quoi… (selon moi)

Ton exemple est mal choisi, tu louerais plutôt des outils dans tes locaux et un utilisateur en blesserait un autre. On pourrait se demander à qui la faute, entièrement celle de l’utilisateur ou en partie celle de l’entreprise faute de précaution ?

Les réseaux TOR n’ont aucun système de gouvernance contre les contenus illégaux et rend difficile la tâche aux autorités de détecter l’origine d’un site ou de partages d’utilisateurs. C’est pour ça que les autorités peuvent être menées à t’interroger, ou saisir ton matériel sans pour autant te condamner à une peine.

Je trouve que le fais d’interdire le cryptage fort est une abomination mais le fait de proposer aucune gouvernance sur le contenu illégal l’est tout au tant. Après c’est peut-être moi qui est une vision de TOR dramatique et que le dark-web/tor-web est plus sein que je pense.

que je fournis un service qui ne m’apporte rien et sans même connaître les utilisateurs ?

C’est un peu la technique de l’autruche, tu es censé quand même maîtriser les actions de tes utilisateurs et ne pas leur permettre d’accéder à des sites illégaux de façon à cacher leur identité (ip).

Les réseaux TOR n’ont aucun système de gouvernance contre les contenus illégaux et rend difficile la tâche aux autorités de détecter l’origine d’un site ou de partages d’utilisateurs. C’est pour ça que les autorités peuvent être menées à t’interroger, ou saisir ton matériel sans pour autant te condamner à une peine.

Sauf que la question sous-jacente simplifiée était: "puis-je prendre une peine à la place de quelqu’un d’autre ?" pas "Dois-je coopérer avec la loi ?". Je pense clairement que tu te méprends sur mes intentions, bien que je n’ai pas à me justifier. Je ne suis pas là pour discuter de l’aspect philosophique de l’anonymat ou non, mais bien de connaître les effets de bord de la maintenance d’un relais de sortie.

C’est un peu la technique de l’autruche, tu es censé quand même maîtriser les actions de tes utilisateurs et ne pas leur permettre d’accéder à des sites illégaux de façon à cacher leur identité (ip).

Ne le prends pas mal, ce n’est pas ton avis qui m’intéresse mais bien les lois qui entourent la maintenance et la gestion de ces installations. Si j’avais voulu lancer un débat sur l’aspect moral j’aurais créé un sujet nommé: "Que pensez-vous d’un anonymat 'absolu' ?".

Là où tu as vu mon avis, j’essayais de t’expliquer avec des exemples que c’est absurde de dire : j’y suis pour rien.

Peu importe tes intentions qu’elles soient bien ou mal, ce qui compte ici c’est seulement les intentions les plus malhonnêtes de tes utilisateurs c’est-à-dire celles qui peuvent entraîner une enquête judiciaire à être ouverte. La question est de savoir principalement si un réseau TOR est fréquemment utilisé pour visiter des sites illégaux et donc si une enquête judiciaire peut être ouverte pour dementeler ou trouver les auteurs de l’infraction et donc t’entrainer dedans en temps que témoin ou autre.

(C’est la raison pour laquelle j’ai rajouté un disclamer sur ma vision de TOR qui est peut-être altérée, il y a peut-être aucun utilisateur avec des intentions malsaines qui utilisent TOR et donc ta question initiale n’a pas lieu et tu peux ouvrir ta sortie librement).

Les policiers auront la preuve que ton ip (ou celle de ton serveur) a été utilisé pour visiter un site illégale.

Les policiers iront interroger ton FAI ou l’hébergement de ton serveur pour savoir à qui l’ip appartient ou qui en est l’utilisateur, ils diront ce n’est pas nous, c’est @SongBird.

L’hébergeur/FAI auront fait leur job, il respecte (comme cité plus haut) :

L’hébergeur doit toutefois permettre à la justice d’identifier le ou les auteur(s) du contenu incriminé.

Et toi tu vas faire quoi ? Tu as une ip, un nom a donné ? Rien. Il s’agit soit d’une entrave à la justice ou soit l’impossibilité de prouver que ce n’est pas toi.

Si un homme tue une personne au marteau et qu’il y a uniquement le témoignage de 2 personnes sans aucune preuve matérielle, il suffira au criminelle de réunir 2 contre témoignage, indiquant qu’il était ailleurs !

Quand tu as une preuve contre toi, il faut être capable de prouver le contraire avec une preuve équivalente (du même niveau ou +).

Après le policier sera peut-être compréhensif, il ne sera pas poussé pas une envie d’avoir des résultats ou aura une volonté de fouiller plus loin que toi malgré l’absence d’informations de ta part.

Ensuite, reprenons sur ce que j’ai dis :

Après c’est difficile de qualifier un nœud TOR juridiquement, tu n’héberges pas vraiment de contenu mais tu y autorises l’accès.

A part trouver un exemple d’affaires, des retours d’expériences d’autres utilisateurs, il est difficile de te donner un avis tranché car la loi ne dit rien sur les sorties onions ou sur les applications proxy de ce type. Ce qui veut dire qu’il y a beaucoup de facteur qui rentre en jeu (preuves des policiers, avocats, décision du jugement, etc…).

C’est pour ça que les autorités peuvent être menées à t’interroger, ou saisir ton matériel sans pour autant te condamner à une peine.

Ça peut très bien s’arrêter à la saisie pour aider l’affaire, ou s’aggraver pour toi et encourir une sanction.

La loi sur l’informatique est très jeune et est loin de couvrir tous les cas existent.

Tu te rends compte que ton point de sortie peut aller questionner des sites illégaux, faire des requêtes très étranges qui peuvent match à des requête blacklistées par les autorités ? Et donc le premier réflexe des autorités seront d’aller voir ce qu’il y a à ton IP, à qui ça appartient puis quand ils auront ton profil à aller t’interoger puis après c’est à eux de décider ?

Comme j’ai dis :

bien que je pense que le risque est extrêmement faible.

Un avocat ça coûte chère même quand tu n’as rien à te reprocher, les affaires durent TRES longtemps 1, 2, 3 ans ou plus. Sans parler du stress pour toi même si tu sais que tout va dans ton sens.

PS : J’ai vu ton edit, le downvote : c’est parce que c’est une très mauvaise idée d’être responsable de ça, à toi de voir si tu prends le risque (je suis sûr que tu as quasiment aucune chance d’avoir un problème grave, c’est comme acheter un PC/portable neuf qui plante à la première semaine d’utilisation c’est très rare).

J’ai disliké car je te décourage de créer un tel point de sortie. S’il y a du trafic illicite sur ton noeud de sortie, tu peux à tout moment voir des policiers débarquer chez toi, et qu’ils prennent éventuellement ton matériel.

Je me tâte depuis quelques temps à me lancer dans l’installation, la configuration et la maintenance d’un relai de sortie Tor sur le long-terme. Le but n’est pas que de m’imposer ce challenge mais aussi de proposer un service neutre

Je ne vois pas ce que tu gagnes à proposer un « service neutre » et prendre de tels risques, comme ceux mentionnés par @A-312.

Plutôt que de mettre à disposition un nœud Tor, pourquoi ne pas choisir de partager un accès VPN ? Non seulement c’est plus utile, la vitesse de bande passante est bien meilleure pour les utilisateurs, tu peux gagner de l’argent au passage et les utilisateurs savent qu’en utilisant ton service, ils sont bien moins anonyme (donc moins de mauvaises actions, moins de risques pour toi).

Après pour du zéro risque, tu peux aussi offrir un noeud pour une blockchain (bitcoin, litecoin, ethereum etc).

Je sais que ça ne répond pas à ta question mais comme tout le monde ici, je te le déconseille de le faire ; même si ça part d’une bonne intention.

Là où tu as vu mon avis, j’essayais de t’expliquer avec des exemples que c’est absurde de dire : j’y suis pour rien.

Ok, autant pour moi @A-312, j’avais mal saisi le sens de ton dernier message.

L’hébergeur/FAI auront fait leur job, il respecte (comme cité plus haut) :

L’hébergeur doit toutefois permettre à la justice d’identifier le ou les auteur(s) du contenu incriminé.

Et toi tu vas faire quoi ? Tu as une ip, un nom a donné ? Rien. Il s’agit soit d’une entrave à la justice ou soit l’impossibilité de prouver que ce n’est pas toi.

Loin de moi l’idée d’entraver l’identification d’un utilisateur ayant commis un acte illégal. Si l’on me demande les logs du nœud (comme l’a souligné @psycopy), je ne vois pas pourquoi je refuserais, ce serait même stupide.

Ensuite, reprenons sur ce que j’ai dis :

Après c’est difficile de qualifier un nœud TOR juridiquement, tu n’héberges pas vraiment de contenu mais tu y autorises l’accès.

A part trouver un exemple d’affaires, des retours d’expériences d’autres utilisateurs, il est difficile de te donner un avis tranché car la loi ne dit rien sur les sorties onions ou sur les applications proxy de ce type. Ce qui veut dire qu’il y a beaucoup de facteur qui rentre en jeu (preuves des policiers, avocats, décision du jugement, etc…).

J’avoue que je n’ai pas cherché dans ce coin, ça pourrait peut-être me donner une vue d’ensemble; là, en relisant rapidement toutes vos interventions, j’ai l’impression que toutes les décisions de justice prises dans ce genre "d’affaires" sont plutôt arbitraires (même si j’imagine qu’elles ne le sont pas toutes).

Salut @CH4

Je ne vois pas ce que tu gagnes à proposer un « service neutre » et prendre de tels risques, comme ceux mentionnés par @A-312.

Bah ça c’est un peu hors-sujet. Encore une fois, comme je l’ai dit plus haut, je ne cherche pas à me mettre inutilement en danger, je prends bien en considération vos avertissements et je n’ai pas dit que j’allais faire n’importe quoi. Je m’informe juste. Ce n’est pas pour rien si j’ai ouvert ce sujet avant de me lancer dans la config d’un nœud.

Sinon pour répondre à la questions sous-jacente: selon moi la vie n’est pas qu’une question de "rentabilité", de "qu’est-ce que j’y gagne si je fais ça ?". Dans ce cas tu peux poser également la question à toute l’équipe de développement qui s’occupe en ce moment du développement de ZdS ainsi que tous les validateurs, voire même les rédacteurs qui n’y gagnent rien eux non plus. Bref, c’est purement subjectif et ça n’a pas vraiment sa place dans cette discussion.

Salut @Yarflam

Plutôt que de mettre à disposition un nœud Tor, pourquoi ne pas choisir de partager un accès VPN ?

Ça aussi c’est une question qui pourrait occuper un sujet tout entier. Proportionnellement, il y a évidemment bien plus de bande passante pour les utilisateurs, mais si personne ne contribue c’est évident que le réseau sera toujours lent. A savoir également que les nœuds de sortie neutres(comme les nœuds d’entrée) sont cruciaux, en avoir une "infinité" réduit les probabilités de tomber sur des relais qui sniffent les paquets (entre autre).

Loin de moi l’idée d’entraver l’identification d’un utilisateur ayant commis un acte illégal. Si l’on me demande les logs du nœud (comme l’a souligné @psycopy), je ne vois pas pourquoi je refuserais, ce serait même stupide.

Je me demande qu’est ce qui se passe si un noeud a fermé et qu’il n’y a pas de log pour continuer le retraçage

C’est typiquement ce genre de flou qui me dérange un peu.

Je pense que c’est la même chose pour un nœud fermé. Dans le doute, à partir du moment où tu fournis un service sur un réseau publique, il vaut mieux garder toutes les traces de son activité pour pouvoir se défendre en cas de problème. (en France tout du moins)

L’idée derrière le réseau Tor c’est que depuis un nœud on ne puisse connaître que les 2 nœuds adjacents. Pour pouvoir remonter la piste d’un paquet il faudrait consulter les logs de chaque nœud à la suite. Mais si la NSA détient effectivement les 2 tiers du réseau, alors l’anonymat sur ce réseau me parait bien illusoire.

Il existe d’autre technique sûrement moins coûteuse pour remonter jusqu’à la source, en exploitant des failles du navigateur ou en provoquant des failles via son utilisateur (imposer à l’utilisateur d’activer le Javascript par exemple).

À savoir aussi qu’à partir du moment où on entre sur le réseau Tor, notre IP est connu de tous puisqu’il faut forcément passer par un serveur centrale pour créer une route sécurisée (suite de 3 nœuds intermédiaires minimum). Aucun doute sur le fait que toute personne qui utilise ou a utilisé le réseau Tor est fiché par les services de sécurité.

Mais si la NSA détient effectivement les 2 tiers du réseau, alors l’anonymat sur ce réseau me parait bien illusoire.

J’avais lu ça aussi, mais je ne me rappelle plus de la source. C’était en partie à ça que je faisais référence quand je parlais de nœuds "neutres": autrement dit des noeuds qui ne sont pas hébergés pas des organisations dont le but principal est de stalker le trafic du réseau de manière active.