Configurer des Services Cachés pour Tor


Tor permet aux clients et aux relais d'offrir des services cachés. Ainsi, vous pouvez rendre disponible un serveur web, un serveur SSH, etc., sans avoir à révéler votre adresse IP aux utilisateurs. Et même, du fait que vous n'utilisez pas d'adresse publique, vous pouvez faire tourner un service caché derrière votre pare-feu.

If you have Tor installed, you can see hidden services in action by visiting our example hidden service.

Ce « howto » décrit les étapes pour paramétrer votre propre site web en service caché. Si vous désirez plus de détails techniques sur le fonctionnement du protocole de service caché, consultez notre page sur le protocole de service caché.


Étape zéro : s'assurer que Tor fonctionne


Avant de commencer, il est nécessaire de s'assurer que :

  1. Tor est lancé et fonctionne ;
  2. Vous l'avez configuré correctement.

Les utilisateurs Windows devraient suivre le howto Windows, les utilisateurs d'OS X devraient regarder le howto OS X, et les utilisateurs Linux/BSD/Unix devraient suivre le howto Unix.

Une fois que vous avez installé et configuré Tor, vous pouvez accéder à des services cachés actifs sur le web en visitant notre exemple de service caché ou le service caché Wikileaks. Ça prend généralement de 10 à 60 secondes pour charger (ou décider de l'inaccessibilité). Si ça ne fonctionne pas immédiatement et que votre navigateur envoie une alerte disant que "www.duskgytldkxiuqc6.onion ne peut pas être trouvé, merci de vérifier le nom et de réessayer." alors vous n'avez pas configuré Tor correctement ; consultez l'entrée « ça ne marche pas » de la FAQ pour plus d'aide.


Première étape : installer un serveur Web localement


Premièrement, vous avez besoin de configurer un serveur web local. Paramétrer un serveur web peut s'avérer délicat, nous n'allons donc que survoler les bases ici. Si vous n'y arrivez pas ou cherchez à en faire plus, demandez à un ami de vous aider. Nous vous recommandons d'installer un serveur web séparé pour votre service caché, puisque même si vous en avez déjà un d'installé, vous l'utilisez peut-être déjà (ou planifiez de l'utiliser plus tard) pour un usage différent.

Si vous êtes sous Unix ou OS X et que vous vous sentez à l'aise avec la ligne de commande, le plus simple, et de loin, est d'installer thttpd. Rapatriez juste la dernière archive, décompressez la (elle créé son propre répertoire), et lancez ./configure && make. Puis mkdir hidserv; cd hidserv, et lancez ../thttpd -p 5222 -h localhost. Vous devriez retrouver le prompt, et à ce stade vous êtes en train de faire tourner un serveur web sur le port 5222. Vous pouvez mettre des fichiers dans le répertoire hidserv.

Si vous êtes sous Windows, vous devriez prendre Savant ou Apache, et vous assurer que vous l'avez mis en écoute uniquement sur localhost. Vous devriez aussi connaître le port sur lequel vous écoutez, parce que vous allez l'utiliser plus tard.

(La raison pour laquelle nous connectons le serveur web seulement sur localhost est de s'assurer qu'il ne sera pas accessible publiquement. Si des gens peuvent se connecter directement, ils pourraient confirmer que votre ordinateur est bien celui qui offre le service caché.)

Une fois votre serveur web paramétré, assurez-vous qu'il fonctionne : ouvrez votre navigateur et allez sur http://localhost:5222/, où 5222 est le port que vous avez choisi plus haut. Puis, essayez de mettre un fichier dans le repertoire html principal, et assurez-vous que vous pouvez y accéder.


Deuxième étape : configurer votre service caché


Ensuite, vous devez configurer votre service caché pour qu'il pointe sur votre serveur web local.

Premièrement, ouvrez votre fichier torrc dans votre éditeur de texte favoris. (Consultez la FAQ torrc pour plus d'information.) Allez au milieu du fichier et cherchez la ligne

############### This section is just for location-hidden services ###

Cette section du fichier consiste en un groupe de lignes, chacune représentant un service caché. Actuellement elles sont toutes en commentaire (les lignes commençant par #), ainsi les services cachés sont désactivés. Chaque groupe de lignes consiste en une ligne HiddenServiceDir, et une ou plus HiddenServicePort :

  • HiddenServiceDir est un répertoire où Tor va stocker les informations à propos du service caché. En particulier, Tor va créer un fichier dedans, nommé hostname qui va vous donner le nom oignon de l'URL. Vous n'avez pas à ajouter d'autre fichier dans ce répertoire.
  • HiddenServicePort vous permet de spécifier un port virtuel (c'est celui que les gens penseront utiliser en accédant à votre service) et une adresse IP et un port pour les redirections vers ce port virtuel.

Ajoutez les lignes suivantes dans votre torrc :

HiddenServiceDir /Library/Tor/var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:5222

Vous allez avoir à changer la ligne HiddenServiceDir, pour qu'elle pointe vers le repertoire qui est accessible en lecture/écriture par l'utilisateur qui fait tourner Tor. L'exemple du dessus devrait fonctionner si vous utilisez le paquet Tor OS X. Sous Unix, essayez "/home/username/hidserv/" et remplacez par votre propre nom de login à la place de "username". Sous Windows vous devriez mettre :

HiddenServiceDir C:\Documents and Settings\username\Application Data\hidden_service\
HiddenServicePort 80 127.0.0.1:5222

Maintenant sauvegardez votre torrc, coupez votre Tor, et ensuite redémarrez le.

Si Tor redémarre, c'est génial ! Sinon, quelque chose se passe mal. Premièrement regardez les logs pour avoir des pistes. Il devrait y avoir des avertissements ou des erreurs. Ça devrait vous donner une idée du pourquoi ça se passe mal. Souvent des erreurs de frappe dans le fichier torrc ou de droits d'accès aux répertoires. (Voyez la FAQ sur les logs si vous ne savez pas comment les activer ou bien où les trouver.)

Quand Tor se lance, il doit automatiquement créer le HiddenServiceDir que vous avez spécifié (si nécessaire), et il devrait y créer deux fichiers.

private_key
Premièrement, Tor va générer une nouvelle paire de clés publique/privée pour votre service caché, et les écrire dans un fichier appelé "private_key". Ne partagez pas cette clé avec d'autre ; si vous le faite ils peuvent découvrir qui fait fonctionner votre service caché.
hostname
L'autre fichier qui va être créé s'appelle "hostname". Il contient un court résumé de votre clé publique -- ça devrait ressembler à quelque chose comme duskgytldkxiuqc6.onion. C'est le nom public pour votre service, et vous pouvez l'annoncer à d'autre gens, le publier, le mettre sur votre carte de visite, etc.

Si Tor tourne sous un utilisateur différent du votre, par exemple sous OS X, Debian, or Red Hat, vous devrez devenir root pour être autorisé à consulter ces fichiers.

Maintenant que vous avez redémarré Tor, il collecte des points d'introduction dans le réseau Tor, et génère ce qui est appelé un descripteur de service caché, qui est une liste de points d'introduction signée avec la pleine clé publique. Il publie ce descripteur anonymement aux serveurs d'annuaires, et d'autres utilisateurs peuvent anonymement le rapatrier à partir des serveurs d'annuaires lorsqu'ils souhaitent accéder à votre service.

Essayez maintenant : coller le contenu du fichier hostname dans votre navigateur web. Si ça marche, vous devriez avoir la page html que vous avez paramétré à la première étape. Si ça ne fonctionne pas, jetez un œil dans vos logs pour vous aider, et continuez d'essayer jusqu'à ce que ça fonctionne.


Troisième étape : astuces plus avancées


Si vous envisagez de maintenir votre service pendant quelques temps, il est conseillé de faire une copie de votre fichier private_key quelque part.

Nous avons évité de recommander Apache au dessus, a) parce que beaucoup de personnes le font déjà tourner comme serveur public sur leur ordinateur et b) parce que c'est un programme assez lourd et qu'li est en mesure de révéler votre adresse IP ou des informations permettant de vous identifier à un grand nombre d'endroits, par exemple dans les pages 404. Pour les gens qui ont besoin de plus de fonctionnalités, Apache devrait-être la réponse juste. Est-ce que quelqu'un pourrait faire une liste des points sensibles pour verrouiller Apache lorsque vous l'utilisez comme service caché ? « Savant » doit aussi avoir ce genre de problème.

Si vous souhaitez renvoyer plusieurs ports virtuels pour un seul service caché, ajoutez simplement plus de lignes HiddenServicePort. Si vous voulez faire tourner plusieurs service cachés à partir du même client Tor, rajoutez simplement une autre ligne HiddenServiceDir. Toutes les lignes suivant le HiddenServicePort se réfèrent a la ligne HiddenServiceDir jusqu'a ce que vous ajoutiez une autre ligne HiddenServiceDir :

HiddenServiceDir /usr/local/etc/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080

HiddenServiceDir /usr/local/etc/tor/other_hidden_service/
HiddenServicePort 6667 127.0.0.1:6667
HiddenServicePort 22 127.0.0.1:22

Il y a quelques problèmes d'anonymat que vous devriez également garder à l'esprit :

  • Comme cité au dessus, soyez vigilant sur ce que votre serveur web révèle de vous, de votre ordinateur, de votre emplacement géographique. Par exemple, les lecteurs peuvent facilement déterminer s'il s'agit de thttpd ou d'Apache, et apprendre quelque chose sur votre système d'exploitation.
  • Si votre ordinateur n'est pas en ligne en permanence, votre service caché ne le sera pas non plus. Ceci apporte une information à un adversaire observateur.

Si vous avez des suggestions pour améliorer ce document, n'hésitez pas à nous écrire. Merci !


"Tor" et le Logo Onion sont des marques déposées du Projet Tor, Inc.

Attention: Cette traduction peut être obsolète. La version anglaise originale est la 22222 alors que la version traduite est basée sur la (unknown).

Cette page est aussi disponible dans les langues suivantes : Deutsch, English, español, Italiano, polski, Русский (Russkij), 中文(简) (Simplified Chinese).
Comment configurer la langue par défaut du document.

Les développeurs de Tor n'ont pas revu cette traduction en ce qui concerne la pertinence et l'exactitude. Elle peut être obsolète ou fausse. La version officielle du site web Tor est la version anglaise, disponible sur https://www.torproject.org/.

Webmaster - Dernière modification : Sun Apr 25 21:59:43 2010 - Dernière mise à jour : Sun Apr 25 22:08:38 2010