Le but est de montrer, via un cas concret, une sorte de tutoriel, une application de mon billet théorique Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.

Pour ce faire, on se rend sur la page de téléchargement de Firefox https://www.mozilla.org/en-US/firefox/all/.

Le lien qui est fourni est un lien vers https://download.mozilla.org/?product=firefox-stub&os=win&lang=fr

Ce lien ne nous intéresse pas. Il nous faut "le vrai lien". Pour ce, dans la fenêtre de téléchargement de l'exécutable, on récupère le chemin vers la source du fichier téléchargé. A savoir https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/win32/fr/Firefox%20Setup%2032.0.3.exe

On utilise ce chemin pour remonter dans l'arborescence du serveur, au niveau de https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/

Là, on aura les différents sous répertoires des différentes versions de Firefox pour les différents systèmes d'exploitations, mais surtout, c'est là que l'on trouvera différents fichiers :
MD5SUMS et MD5SUMS.asc
SHA1SUMS et SHA1SUMS.asc
SHA512SUM et SHA512SUMS.asc

Si on regarde le contenu du fichier MD5SUMS, il contient pour tous les fichiers que l'on peut télécharger le hash (MD5) des exécutables.

Le MD5SUMS.asc est la signature numérique (GPG) du fichier contenant les hashs.

On vérifie que le fichier contenant les signatures est bon (application de Comment vérifier l'intégrité d'un fichier que l'on télécharge ?) via un

Puis on fait un

et on compare le résultat obtenu (par exemple 36daf51ab56a8b56acbe727e843a7304) à celui contenu dans le fichier MD5SUMS.

Si les deux codes correspondent, le FirefoxSetup32.0.3.exe est bon. On peut l'installer en confiance.

Conclusion

De cette façon, je sais que mon fichier Firefox.exe est bon, n'a pas été corrompu et est bien celui que Mozilla propose au téléchargement (il ne sera pas une version modifié pour ajouter des spywares par exemple).

Ce n'est pas le binaire de Firefox OS qui est signé numériquement, mais le fichier des signatures, ce qui est mieux que rien. (Par exemple, dans le cas du TorBrowser , c'est l'exécutable de l'installeur qui est signé mais il est vrai qu'il y a beaucoup moins de versions différentes).

Sur le même sujet
Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.

Une petite histoire

Imaginer une zone pavillonnaire avec différentes maisons dont celle de votre ami.

Cas 1 : Sa maison a des murs aux transparents. On vous voit aller chez lui, on peut entendre ce que vous dites et voir ce que vous faîtes.

Cas 2 : Maintenant, sa maison a des murs pleins. On vous voit aller chez lui, mais on peut plus entendre ce que vous dites et voir ce que vous faites (on met de côté l'aspect micro/caméra). Mais on sait à quelle heure vous êtes venu le voir et quand vous repartez.

Cas 3 :
Si en arrivant en extérieur de la zone pavillonnaire, vous entrez dans une première maison, et en ressortez avec un déguisement, puis vous entrez dans une seconde maison au hasard et en ressortez avec un autre déguisement, et entrez enfin dans une troisième maison au hasard et en ressortez avec un autre déguisement, pour enfin entrez chez votre ami. On sait que quelqu'un est entré chez lui, de quelle heure à quelle heure, mais on ne sait pas que c'est vous. A moins de surveiller toutes les maisons, de surveiller toutes les personnes qui entrent et sortes de chaque maison (sachant que chacun en ressort déguisé), ce qui est très compliqué...

Cas 4 : Si en arrivant en extérieur de la zone pavillonnaire, vous entrez dans une première maison, et en ressortez avec un déguisement, puis vous entrez dans une seconde maison au hasard et en ressortez avec un autre déguisement, et entrez enfin dans une troisième maison au hasard et en ressortez avec un autre déguisement, pour enfin entrez chez votre ami. Mais cette fois, vous passez par la porte arrière de la maison, côté jardin. On ne sait même pas qu'une personne est venue dans la maison de votre ami.

Transposons ça à Internet

Cas 1 : Dans le premier cas, il s'agit d'une connexion Http classique. Vous utilisez votre navigateur, allez sur un site. Un observateur extérieur peut savoir que vous allez sur le site et quelles pages vous consultez.

Cas 2 : Dans le deuxième cas, il s'agit d'une connexion Https. Vous utilisez votre navigateur, allez sur un site en mode sécurisé. Un observateur extérieur peut savoir que vous allez sur le site mais ne voit pas quelles pages vous consultez (seul le site le sait et enregistre les traces dans le journal de logs, tout comme votre ami chez qui vous êtes saura ce dont vous lui avez parlé).

Cas 3 : Dans le troisième cas, il s'agit d'une connexion qui se fait via le réseau Tor. La connexion passe par trois proxys intermédiaires avant d'arriver sur le site web. Je ne détaillerai pas plus le fonctionnement de Tor.

Cas 4 : Dans le quatrième et dernier cas, il s'agit d'une connexion à un service caché dans Tor, les fameux Hidden services. On ne ressort pas du réseau Tor, on entre par une porte particulière sur le site web. Tout comme on entre par une porte dissimulé de la vue de tous chez son ami.

Conclusion

Merci de laisser dans les commentaires vaut remarques/critiques quand à cette analogie/vulgarisation

Ceci est une version 0.1 d'un jeu d'initiation à Tor et GPG. Le concept sera amélioré avec le temps, les parties. L'idée étant de faire une sorte de carte qui ait des règles simples, différentes variantes. Je ferai peut être un pad collaboratif si le concept plait. Le tout est sous licence Creative Commons CC BY-SA.

Prérequis aux jeux

Une imprimante couleur
Trois enveloppes de tailles différentes que l'on peut mettre les unes dans les autres
Des enveloppes de tailles normales
Des étiquettes (pour coller les illustrations sur les enveloppes et cartes)
Des cartes vierges genre bristol

Les règles du jeu HTTP

Nombre de joueurs :
1 pour le serveur web
1 pour le navigateur Firefox
X pour les routeurs

Le joueur jouant le navigateur Firefox fait circuler un papier entre les joueurs avec un texte dessus.

Le papier arrive au serveur web.

On demande à tous ce qu'ils ont lu comme information.

Les règles du jeu HTTPS

Nombre de joueurs :
1 pour le serveur web
1 pour le navigateur Firefox
X pour les routeurs

Après avoir expliqué le principe d'HTTPS, on passe à la pratique.

Le joueur jouant le navigateur Firefox met un papier avec un texte écrit dans une enveloppe avec le cadenas de couleur (blanche par exemple).

Le serveur web reçoit la carte clef de la couleur blanche.

On fait circuler l'enveloppe entre les joueurs qui n'ont pas le droit de l'ouvrir.

L'enveloppe arrive au serveur web, qui lit pour lui le texte du papier.

On demande à tous ce qu'ils ont lu comme information.

Les règles du jeu sur Tor

Nombre de joueurs :
3 pour les relais Tor
1 pour le serveur web
1 pour le navigateur Tor

Après avoir expliqué le principe du routage en oinion en théorie, on passe à la pratique.

On prend trois enveloppes de tailles différentes que l'on peut mettre les unes dans les autres. Sur chacune on colle un cadenas de couleur (rose, bleu, jaune). Chaque enveloppe représente un serveur du réseau Tor.

On explique que le navigateur détermine une route, choisit un relais parmi les différents noeuds du réseau (symbolisé par les clefs de couleurs : bleu, rose, jaune, noire, verte). On explique que les 3 noeuds choisit sont :
rose : noeud d'entrée dans le réseau
bleu : noeud intermédiaire
jaune : noeud de sortie

La personne ayant la carte Navigateur Tor met une carte avec dessus une adresse de site web par exemple. Dans l'enveloppe la plus petite (ayant un cadenas jaune). Cette enveloppe est mise dans une enveloppe de taille moyenne (enveloppe ayant un cadenas bleu dessus), elle-même mise dans une enveloppe plus grande, ayant également un cadenas rose.

On explique que seule la clef de la bonne couleur peut ouvrir l'enveloppe.
On distribue les clefs aux différentes personnes.

La personne ayant la carte navigateur donne les enveloppes (empilées les unes dans les autres) à la personne ayant la clef de couleur rose (noeud d'entrée dans le réseau Tor). Elle ouvre l'enveloppe et passe l'enveloppe intérieure à la personne ayant la clef de couleur bleu (celle qui est maintenant visible sur l'enveloppe).

La personne ayant la carte clef bleu ouvre l'enveloppe. Et passe l'enveloppe intérieure à la personne ayant la clef de couleur jaune (celle qui est maintenant visible sur l'enveloppe).

La personne ayant la carte clef jaune ouvre l'enveloppe. Et passe la carte site web au site Internet.

On peut alors demander à chacun ce qu'il a pu voir comme information.

On peut mettre une enveloppe encore plus petite avec un cadenas noir ou blanc, pour illustrer l'envoi de message par HTTPS via TOR.

On combine alors les règles des jeux HTTPS et Tor.

Les règles du jeu sur GPG

Deux joueurs minimum. Chacun reçoit une carte clef et plusieurs cartes cadenas de la même couleur, ainsi que des enveloppes.

Le joueur 1 donne une carte cadenas et autres joueurs. Le jouer 2 fait de même inversement.

Envoi d'un premier message par le jouer un. Il met un texte dans une enveloppe et met le cadenas de la couleur du joueur 2, qui joue le rôle du destinataire, sur l'enveloppe.

L'enveloppe circule et une fois qu'elle arrive dans les mains de la personne qui la clef de la bonne couleur, la personne peut lire le texte.

On peut alors demander à chacun ce qu'il a pu voir comme information.

R.A.F.

Compléter les règles existantes.

Ajouter de nouvelles règles.

Le texte explicatif de la notion de signature (avec une carte sceau).

Evolutions, extensions du jeu, idées en vrac

Ajouter des explications sur GPG avec la gestion des clefs, vérifications et signatures des clefs etc.
Ajouter le concept d'attaque par l'Homme du milieu / Man In the middle
Ajouter le concept de boîte noir avec une image de photocopieuse (qui va tracer ce qu'elle voit passer)
Ajouter des cartes Serveurs DNS, adresse IP, Box du FAI etc. pour ajouter les notions correspondantes. Ce sera peut être un autre jeu ;-)

Travail collaboratif

J'ai mis en place un PAD pour https://mensuel.framapad.org/p/Tor_le_jeu pour que nous reprenions le concept, améliorons tout ça ensemble. Merci à vous.

Dans mon billet Lila et le studio Girin j'avais présenté l'association LILA.

Jehan et Aryeom, deux de ses membres, ont eu le droit à une belle et longue interview sur le site de Framasoft que je vous invite à aller lire : La Marmotte veut le chocolat, et l'argent du chocolat Aryeom et Jehan se sont lancés dans un projet de film d'animation sous licence libre. Pas un truc d'amateurs ! Tous deux munis d'un solide bagage (elle : dessinatrice et réalisatrice ; lui : acteur et développeur), ils veulent en mettre plein la vue et courir les festivals avec une belle œuvre. Ils souhaitent aussi séduire assez de donateurs pour produire leur film en financement participatif.

Comme le dit Frédéric Urbain auteur de l'interview, les premières images sont impressionnantes. Je vous laisse juger par vous même sur la page d'appel à financement du projet Crowfounding ZeMarmot, Libre Movie.

Soutenir ce projet, c'est soutenir le logiciel libre, soutenir une équipe motivée. Jehan est développeur et contribue donc au logiciel libre, en améliorant Gimp (pour ne citer que ça). Aryeom est utilisatrice, dessinatrice et illustratrice et tout ses dessins sont et seront sous licence libre.

Les soutenir, c'est donner vie à ce projet et apporter un peu de rêve et de poésie dans ce monde

Enfin, si vous voulez en savoir sur le projet, quelques liens :
ZeMarmot, premier film d'animation réalisé entièrement avec des Logiciels Libres sur Linuxfr
l'association LILA.
Crowfounding ZeMarmot, Libre Movie

Samedi 9 mai, de 14 à 17h30, nous ferons une nouvelle édition d'un Café vie privée spécial Tor. Ca se passe dans les locaux de CODEV 6 rue Lavoisier 93100 Montreuil. Métro 9 Robespierre

Au programme :
Conférence :
Présentation de Tor
Présentation du TorBrowser, installation, utilisation
Tails
Questions /réponses et ateliers manipulation pour les personnes ayant apporté leurs PC, installation de clefs TAILS.

Si vous venez, merci de saisir un pseudo pour que l'on ait une estimation du nombre de personnes sur le framadate https://framadate.org/c1xfqscwxynykepj. Merci.