Facebook dans l’onion

Facebook a lancé vendredi 31 octobre son .onion offrant ainsi la possibilité aux utilisateurs du réseau social d’accéder à leur prison dorée directement dans le réseau Tor.

Tor est un réseau d’anonymisation qui permet de se prémunir contre la surveillance réseau. C’est aussi bien plus que cela puisqu’il est possible d’y héberger de nombreux services dont des sites web. Les sites dont l’extension finit en .onion sont hébergés dans le réseau Tor et ne sont accessibles qu’en passant par celui-ci. Un .onion ne peut être bloqué par aucun gouvernement ou Fournisseur d’Accès Internet [1]. L’autre avantage est qu’il est impossible pour un FAI de pister le trafic des .onion (qui visite quel site).

C’est merveilleux, me direz-vous on va pouvoir aller sur Facebook sans être fliqués. C’est là que tu te trompes, jeune. Si votre FAI ne peut voir votre traffic Facebook, le site https://facebookcorewwwi.onion/ lui reste en mesure d’enregistrer toutes vos préférences, vos clics, les messages de vos amis, ceux que vous laissez à vos amis, vos likes, vos préférences politiques ou sexuelles, etc. Bien qu’hébergé sur le réseau Tor, https://facebookcorewwwi.onion/ c’est toujours  Facebook, c’est à dire une formidable machine à profiler ses utilisateurs.

Alors, qu’est-ce que ça change ce .onion ? Pour l’instant pas grand chose. Au delà de la communauté des experts en sécurité et des geeks qui suivent ces sujets de très près, je ne suis pas certain que l’information soit déjà parvenue aux oreilles de ceux pour qui à la mise en place d’un facebook en .onion pourrait vraiment profiter : internautes et citoyens au Kazakhstan, en Iran, au Tadjikistan ou dans tout autre pays où Facebook est régulièrement bloqué. Par contre, dès que ceux-ci auront l’info et sauront accéder à https://facebookcorewwwi.onion/ ça peut changer beaucoup de choses.

Les utilisateurs du .onion resteront exposés à la plupart des risques auxquels ils sont déjà exposés aujourd’hui. Même si le .onion permet de profiter de la couche de chiffrement du réseau Tor et de bénéficier d’un chiffrement de bout en bout [2], être anonyme sur Facebook reste très difficile. Entre l’accès au site via smartphone sans passer par Tor, ou les amis d’amis qui publient forcément à un moment donné une info sur soi sans qu’on l’aie souhaité ou la liste d’amis qui permet de retracer facilement le réseau de quelqu’un, non, vraiment, Facebook et l’anonymat, ça ne marche pas bien ensemble.

Par contre, pour lutter contre la censure, le .onion est une avancée majeure. Accéder à Facebook dans un pays où le réseau social est bloqué devient vraiment plus facile. Certes, c’était déjà possible avant mais assez pénible à cause de la politique de sécurité mise en place par Facebook. Dès qu’on se connectait depuis une destination inhabituelle, ce qui est le cas dès qu’on utilise Tor, l’utilisateur était obligé de remplir un captcha ou de confirmer son identité d’une manière ou d’une autre. Ce n’est plus le cas avec le .onion.

Apparemment l’équipe de Facebook a d’autres idées pour améliorer l’expérience utilisateur de leur .onion. On ne peut que se féliciter de cette initiative. D’ailleurs hop je me félicite.

1. A moins de bloqUer l’accès au réseau Tor dan son ensemble, ce qui requiert pas mal de ressouRces
2. Ne sortant pas sur le réseau Internet, tout le trafic reste chiffré entre l’ordi et facebookcorewwwi.onion