Lorsque l’on utilise Tor Browser, un Firefox modifié qui permet de se connecter au réseau Tor, le module NoScript autorise javascript par défaut. Et lorsque l’on a bien appris sa leçon, on sait que javascript c’est plutôt moche question sécurité. Mais le problème qui se pose alors, c’est que sans scripts, c’est souvent le site visité qui devient moche, voir inutilisable. Dilemme…
S’il n’y a comme d’habitude pas de solution miracle, mais la FAQ du site du projet Tor propose une explication à la question que vous vous étiez peut-être comme moi posée.
Premièrement, l’équipe souligne que l’importance qu’a pris javascript dans la construction des sites aujourd’hui porte le débat non plus uniquement sur la sécurité, mais aussi sur « l’accueil » des nouveaux utilisateurs de Tor. Si les sites sont à moitié fonctionnels ou ont l’air de ne pas être consultables par le biais Tor, le risque le plus probable est que ces personnes cessent tout simplement d’utiliser car ne sachant pas configurer NoScript, ce qui n’est évidemment pas souhaitable.
D’un autre côté, le problème de sécurité reste, mais il n’est pas nécessairement résolu non plus par des choix plus restrictifs de l’utilisateur. En effet, le fait de n’accepter que les scripts de quelques sites, pourrait s’avérer aussi parlant sur vos habitudes, et surtout votre indentité, qu’une bonne paire de cookies déposés sur votre ordinateur. Ouch! N’avais pas pensé à celle-là.
Les développeurs de Tor ont ainsi équipé le Torbutton (le petit oignon vert en haut à gauche) de fonctionnalités permettant de bloquer les scripts potentiellement dangereux. Et NoScript est toujours là pour s’occuper d’éventuelles attaques jouant sur les failles éventuelles du navigateur, même si les scripts sont autorisés.
Si vous le pouvez, il est donc toujours préférable de tout bloquer à l’aide de NoScripts, mais en cas de besoin, vos arrières sont assurés. Ça n’est pas une raison pour aller regarder des vidéos en flash non plus! 😉
Pour les plus consciencieux d’entre vous, il reste la solution du système live Tails, qui probablement renforcera encore vos chances d’augmenter votre sécurité et votre anonymat…
Moralité: les outils c’est bien, mais des outils et de la réflexion c’est mieux.
