Conçu par l'US Navy pour cacher ses espions : l'histoire secrète de Tor et du routage en oignon

Le réseau d'anonymat le plus utilisé de la planète n'a pas été conçu par des militants de la vie privée. Il a été construit par l'armée des États-Unis — plus précisément par des mathématiciens et des informaticiens du U.S. Naval Research Laboratory, qui avaient besoin d'un moyen pour leurs agents de renseignement d'utiliser l'internet ouvert sans révéler qu'ils travaillaient pour le gouvernement. La technologie qu'ils ont inventée s'appelle le routage en oignon, et le logiciel qui en est issu s'appelle Tor.

Mais voici le paradoxe qui explique tout du fonctionnement de Tor et de la raison pour laquelle il existe sous sa forme actuelle : un outil de communication secret utilisé uniquement par des espions est sans valeur, car quiconque surveille le réseau peut voir que tous ceux qui s'y trouvent sont des espions. Pour dissimuler ses propres utilisateurs, le système d'anonymat de la Navy a dû être offert à des journalistes, des militants, des criminels, des chercheurs et des gens ordinaires du monde entier. Cet article retrace cette histoire avec précision — qui l'a construit, quand et pourquoi — puis fait ce que la plupart des articles « Tor vs VPN » refusent de faire : expliquer honnêtement ce que chacun dissimule réellement.

Un réseau d'espionnage avec une faille fatale

Imaginez qu'une agence de renseignement construise un réseau privé et chiffré, et n'en laisse l'accès qu'à ses propres agents de terrain. Le chiffrement est irréprochable ; personne ne peut lire les messages. Il subsiste pourtant un problème catastrophique. Quiconque peut observer le trafic internet — l'opérateur télécom d'un gouvernement hostile, par exemple — peut voir qui se connecte à ce réseau. Nul besoin de casser le chiffrement. Le simple fait qu'un ordinateur situé dans une capitale étrangère dialogue avec le « système d'anonymat du gouvernement américain » constitue le secret tout entier, exposé.

C'est là l'intuition fondamentale au cœur de la conception de Tor. L'anonymat n'est pas une propriété d'une personne ; c'est une propriété d'une foule. On ne peut pas se cacher au sein d'un groupe d'une seule personne. Le terme technique pour cela est l'ensemble d'anonymat : plus la population d'utilisateurs est nombreuse et diverse, plus il est difficile d'y isoler un individu. Un officier de renseignement militaire qui navigue sur le web n'est invisible que si un étudiant au Brésil, un journaliste en Turquie et un amateur de vie privée en Allemagne utilisent tous exactement le même réseau au même moment, indiscernables les uns des autres.

Un réseau privé utilisé uniquement par des espions est une enseigne au néon qui clignote « espion ici ». Le seul moyen de dissimuler le trafic du gouvernement était de l'enfouir dans celui de tous les autres.

Les créateurs de Tor ont eux-mêmes écrit plus tard un article qui rend ce point explicite, avec un titre mémorable : « Anonymity Loves Company » (l'anonymat aime la compagnie). La facilité d'utilisation d'un système d'anonymat et sa sécurité ne sont pas des préoccupations distinctes — c'est une seule et même préoccupation. Un outil que personne d'autre n'utilise ne peut protéger personne, y compris ceux qui l'ont conçu. Voilà pourquoi la Navy ne pouvait pas garder le routage en oignon classifié et sous clé. Pour protéger ses utilisateurs cibles, elle a dû l'offrir au monde entier.

Né au Naval Research Laboratory

Le routage en oignon a été conçu au milieu des années 1990 au U.S. Naval Research Laboratory (NRL), à Washington, D.C. Les trois chercheurs crédités de son invention sont le mathématicien Paul Syverson et les informaticiens David Goldschlag et Michael Reed. Leur objectif était concret et peu glorieux : protéger les communications du renseignement américain transitant par les réseaux publics, afin que l'origine et la destination d'un trafic sensible ne puissent être reconstituées par un observateur.

La première description publique de ces travaux est parue en 1996, dans un article intitulé « Hiding Routing Information », présenté lors d'un atelier sur la dissimulation d'information. L'équipe a également déposé un brevet ; le brevet américain U.S. Patent 6,266,704, « Onion routing network for securely moving data through communication networks », a été attribué à l'U.S. Navy et délivré en 2001. Le premier prototype — parfois appelé routage en oignon de génération zéro — faisait même tourner sa démonstration de faisabilité sur une seule machine, davantage une démonstration de recherche qu'un réseau mondial.

Le nom est une description littérale de la technique. Un message est enveloppé dans des couches successives de chiffrement, comme les pelures d'un oignon, et chaque relais qu'il traverse retire exactement une couche — n'apprenant que ce qu'il faut pour transmettre le message au saut suivant, et rien de plus. Aucun relais ne voit jamais à la fois qui vous êtes et ce que vous faites.

Le routage en oignon en termes simples

Voici ce qui se passe réellement lorsque vous chargez une page via Tor. Votre logiciel client construit un chemin — appelé circuit — à travers trois relais gérés par des bénévoles et répartis dans le monde entier. Votre trafic est chiffré en trois couches imbriquées avant même de quitter votre ordinateur.

• Le relais d'entrée (ou de garde) voit votre véritable adresse IP — il sait qui vous êtes — mais, à cause du chiffrement en couches, il n'a aucune idée du site que vous visitez ni de ce que vous envoyez.

• Le relais intermédiaire ne voit ni l'une ni l'autre extrémité. Il sait seulement qu'il a reçu des données du relais de garde et qu'il doit les transmettre à la sortie. C'est un coursier aux yeux bandés qui remet un colis scellé.

• Le relais de sortie retire la dernière couche et envoie votre requête au site de destination. Il voit ce que vous faites — la destination et tout contenu non chiffré — mais il voit l'adresse du relais intermédiaire, pas la vôtre. Il n'a aucune idée de qui vous êtes.

La sécurité du système découle de cette séparation des connaissances. La pièce qui connaît votre identité (la garde) est aveugle à votre activité. La pièce qui connaît votre activité (la sortie) est aveugle à votre identité. Pour vous démasquer, un adversaire devrait généralement contrôler ou observer à la fois l'entrée et la sortie de votre circuit et corréler la temporalité du trafic — une attaque réelle mais difficile. Par défaut, Tor renouvelle aussi périodiquement ses circuits, de sorte que vous n'êtes pas figé sur un seul chemin.

C'est la différence structurelle qui compte le plus lorsque nous comparerons plus loin Tor à un VPN : dans Tor, la confiance est répartie entre trois parties indépendantes, dont aucune ne peut vous désanonymiser seule. Aucun opérateur unique ne détient le tableau complet.

Du projet de la Navy à l'organisation à but non lucratif : la naissance du Tor Project

La version de la technologie que la plupart des gens utilisent aujourd'hui — « Tor », à l'origine un acronyme de The Onion Router — est une refonte de deuxième génération. Vers 2002, Paul Syverson, du NRL, s'est associé à deux développeurs extérieurs, Roger Dingledine et Nick Mathewson, pour reconstruire le routage en oignon en quelque chose de pratique, déployable et mondial. Les premiers relais du réseau Tor ont été mis en service en octobre 2002, et l'article de conception fondateur, « Tor: The Second-Generation Onion Router », a été publié au USENIX Security Symposium en 2004.

Point crucial, le projet est passé en open source. La Navy a publié le code de Tor sous une licence libre et ouverte, ce qui signifiait que n'importe qui pouvait le lire, l'auditer, faire tourner un relais et vérifier qu'il n'y avait aucune porte dérobée cachée — une propriété essentielle pour un outil dont toute la valeur dépend de la confiance que lui accordent ses utilisateurs. En 2004, l'Electronic Frontier Foundation (EFF) est intervenue pour financer la poursuite du développement, contribuant à faire sortir Tor d'une filiation purement militaire pour l'amener dans le monde des libertés civiles.

En décembre 2006, les développeurs ont constitué The Tor Project, Inc., une organisation à but non lucratif de recherche et d'éducation de type 501(c)(3), avec Dingledine, Mathewson et Syverson parmi ses fondateurs. Le Tor Project a depuis été financé par un ensemble de sources comprenant des subventions du gouvernement américain (la National Science Foundation, les programmes de liberté sur internet du Département d'État, et ce qui est aujourd'hui l'U.S. Agency for Global Media), des fondations privées et des dons individuels. Vous pouvez lire la présentation que le projet fait de sa mission et de ses logiciels sur le Tor Project.

Tor vs VPN : deux formes de confiance différentes

La plupart des comparaisons « Tor vs VPN » posent la question de savoir lequel est « le plus respectueux de la vie privée », comme si la vie privée se réglait sur un seul curseur. Ce cadrage est faux. La vraie différence est à qui vous devez faire confiance, et ce que cette partie peut voir.

Lorsque vous utilisez un VPN commercial, votre trafic est chiffré depuis votre appareil jusqu'au serveur du fournisseur de VPN, qui le transmet ensuite vers le reste d'internet en utilisant l'adresse IP du fournisseur. Cela dissimule votre activité à votre fournisseur d'accès à internet et aux sites que vous visitez (ils voient l'IP du VPN, pas la vôtre). Mais remarquez ce que cela ne fait pas : le fournisseur de VPN lui-même se trouve au milieu et peut voir à la fois votre véritable adresse IP et chaque destination à laquelle vous vous connectez. Vous n'avez pas supprimé le point de confiance unique — vous l'avez déplacé de votre FAI vers votre société de VPN. Tout repose sur l'honnêteté de ce seul fournisseur, sur sa politique de journalisation et sur sa résistance aux pressions juridiques.

Tor a été conçu précisément pour éliminer cette partie de confiance unique. Sa structure à trois relais fait qu'aucune entité — ni la garde, ni la sortie, ni le site web — ne connaît à la fois qui vous êtes et ce que vous faites. Voilà le compromis que fait Tor :

• VPN = confiance en un seul fournisseur. Une entreprise voit votre identité et vos destinations. Rapide, simple, idéal pour dissimuler le trafic à votre FAI et aux sites — mais seulement aussi fiable que cette seule entreprise.

• Tor = confiance répartie. Trois relais indépendants, aucun opérateur central, aucun compte, aucune trace de paiement. Bien plus solide contre la désanonymisation — mais plus lent, et avec son propre point faible distinct à la sortie.

• Des fonctions différentes. Un VPN est un outil de confidentialité et d'accès reposant sur un opérateur de confiance. Tor est un système d'anonymat conçu pour supprimer toute nécessité de faire confiance à un quelconque opérateur.

Le problème du nœud de sortie que les listicles passent sous silence

Voici le détail que les articles comparatifs expéditifs ont tendance à omettre. Comme le relais de sortie de Tor retire la dernière couche du chiffrement de Tor pour livrer votre requête à la destination, l'opérateur de sortie peut voir tout ce que vous envoyez en clair. Si vous vous connectez à un site via du HTTP simple et non chiffré, le relais de sortie peut lire votre identifiant et votre mot de passe. Tor cache qui vous êtes à ce relais, mais il ne chiffre pas comme par magie votre contenu de bout en bout avec le site web.

Ce n'est pas théorique. En 2007, le chercheur en sécurité Dan Egerstad a mis en place une poignée de relais de sortie Tor et a récolté des identifiants de messagerie valides pour des dizaines d'ambassades et de comptes gouvernementaux dans le monde — non pas en cassant Tor, mais simplement en lisant le trafic non chiffré que des utilisateurs imprudents faisaient passer par ses nœuds de sortie. La leçon reste valable aujourd'hui : n'importe qui peut se porter volontaire pour faire tourner un relais de sortie, y compris un acteur hostile, de sorte que le chiffrement du transport jusqu'à la destination (HTTPS) demeure d'une importance considérable lorsqu'on utilise Tor.

En revanche, la « sortie » d'un VPN est le fournisseur que vous avez choisi et (idéalement) vérifié, et non un bénévole anonyme tiré au hasard. Aucun des deux modèles n'est strictement plus sûr — ils échouent de manières différentes. Un VPN concentre le risque sur une partie connue ; Tor le répartit entre des parties inconnues. Lequel est acceptable dépend entièrement de ce contre quoi vous cherchez à vous protéger.

Qui Tor protège réellement — et le problème du dark web

Une fois la mythologie écartée, la base d'utilisateurs réelle de Tor est vaste et le plus souvent banale. Des journalistes d'investigation l'utilisent pour mener leurs enquêtes et protéger leurs sources. De grandes rédactions et des organisations de défense des droits humains exploitent des systèmes de soumission pour lanceurs d'alerte fondés sur Tor — la plateforme open source SecureDrop, utilisée par des médias dont des journaux et des magazines, repose sur la technologie des services cachés de Tor. Des militants et de simples citoyens dans des pays soumis à une forte censure s'en servent pour atteindre le web ouvert. La police et les agences de renseignement l'utilisent pour exactement la raison initiale du NRL : faire leur travail sans révéler les adresses IP de leur organisation. Les documents de la NSA divulgués par Edward Snowden en 2013 comprenaient même une présentation de l'agence au titre candide « Tor Stinks » (Tor, c'est nul), qui se plaignait que le réseau était suffisamment efficace pour que la NSA ne puisse pas désanonymiser de façon fiable l'ensemble de ses utilisateurs à la demande.

Et puis il y a le problème de réputation. La même fonctionnalité de service caché qui permet à un journal d'héberger une ligne de signalement anonyme permet aussi à des marchés illégaux de fonctionner — le plus tristement célèbre étant le marché de drogue Silk Road, démantelé en 2013. C'est de là que vient l'image sulfureuse de « dark web » associée à Tor. Mais la proportion compte : l'écrasante majorité du trafic de Tor correspond à des personnes qui naviguent anonymement sur le web ordinaire. Les services onion (des sites dotés d'adresses en .onion accessibles uniquement via Tor) ne représentent qu'une faible fraction de l'activité, et ils vont des marchés criminels à des miroirs de sites d'information grand public et de grandes plateformes qui les exploitent précisément pour servir des lecteurs dans des régions censurées.

Pourquoi des gouvernements financent ce qu'ils tentent aussi de casser

Le fait le plus étrange de l'histoire de Tor est que le gouvernement américain le finance et tente de le vaincre simultanément — et les deux comportements sont rationnels. Différentes parties d'un gouvernement ont des missions différentes. Les programmes de liberté sur internet et de politique étrangère veulent un réseau d'anonymat solide et populaire, parce qu'il aide les dissidents et les journalistes vivant sous des régimes autoritaires à communiquer, et parce que — pour revenir au paradoxe fondateur — les propres agents de ces mêmes agences ne sont dissimulés que si des millions d'autres personnes utilisent le même outil. Un Tor faible avec peu d'utilisateurs ne protège personne, eux compris.

Pendant ce temps, les branches du renseignement d'origine électromagnétique et de l'application de la loi du même gouvernement ont pour mandat de surveiller des cibles précises, et pour elles un réseau d'anonymat solide est un obstacle. Elles cherchent donc des attaques contre lui. Il n'y a aucune contradiction dès lors qu'on admet que « le gouvernement » n'est pas un acteur unique avec un seul objectif. La pérennité de Tor, financée en partie par de l'argent public, est l'expression institutionnelle du paradoxe même dont il est issu : l'anonymat pour quelques-uns exige l'anonymat pour le plus grand nombre.

À retenir : choisissez selon votre modèle de menace, pas selon le battage médiatique

La question « Tor ou un VPN, lequel protège le mieux la vie privée ? » n'a pas de réponse, parce que c'est la mauvaise question. La bonne question est : que cherchez-vous à dissimuler, et à qui ? Décidez en fonction de votre modèle de menace.

1. Dissimuler votre navigation à votre FAI, ou débloquer des contenus, avec un bon débit et un seul opérateur de confiance ? Un VPN convient à cette tâche — à condition que vous fassiez réellement confiance au fournisseur, car il peut voir tout ce que vous faites.

2. Déjouer toute identification lorsqu'aucune partie unique ne doit jamais relier votre identité à votre activité — pour un journaliste, une source, un dissident ou un chercheur ? La conception à confiance répartie de Tor est ce pour quoi il a été conçu, au prix de débits plus lents et de la nécessité d'utiliser HTTPS pour se prémunir contre des relais de sortie hostiles.

3. Faire face à un adversaire puissant capable d'observer de larges portions du réseau ? Comprenez qu'aucun outil grand public n'est une cape d'invisibilité magique ; la discipline opérationnelle (ce à quoi vous vous connectez, ce que vous révélez) compte souvent davantage que l'outil lui-même.

L'histoire de Tor est en définitive une leçon de conception contre-intuitive. Le réseau de protection de la vie privée le plus puissant dont nous disposons existe parce qu'un laboratoire de renseignement militaire a compris que le secret et les foules ne sont pas des opposés — que la seule façon de dissimuler quelques personnes importantes était de protéger tout le monde. Le routage en oignon n'a pas fuité de la Navy par accident. Il a été rendu public à dessein, parce que c'était la seule manière dont il pouvait fonctionner.

Questions fréquentes

Qui a créé Tor ?

Le routage en oignon, la technologie sur laquelle repose Tor, a été inventé au milieu des années 1990 par Paul Syverson, David Goldschlag et Michael Reed au U.S. Naval Research Laboratory. Le logiciel Tor moderne a ensuite été développé à partir de 2002 environ par Syverson, avec Roger Dingledine et Nick Mathewson, qui ont plus tard cofondé l'organisation à but non lucratif Tor Project en décembre 2006.

Le gouvernement américain a-t-il vraiment construit Tor et le routage en oignon au Naval Research Lab ?

Oui. Le routage en oignon était un projet du U.S. Naval Research Laboratory, financé par la Navy puis par la DARPA, destiné à l'origine à protéger les communications gouvernementales et de renseignement en ligne. Le code a été délibérément publié en open source, et le Tor Project reçoit encore une partie de son financement des programmes de liberté sur internet du gouvernement américain, aux côtés de fondations et de donateurs.

Pourquoi Tor a-t-il été rendu public s'il avait été conçu pour des espions ?

Parce que l'anonymat exige une foule. Un réseau utilisé uniquement par des agents gouvernementaux identifierait instantanément tous ses membres comme des agents gouvernementaux. Pour dissimuler ses utilisateurs cibles, l'outil a dû être ouvert aux journalistes, aux militants et aux gens ordinaires, afin qu'aucun utilisateur ne se distingue au sein d'une population vaste et diverse.

Quelle est la différence entre Tor et un VPN en matière d'histoire et de conception ?

Tor est passé d'un projet de recherche militaire à un réseau d'anonymat à but non lucratif qui répartit la confiance entre trois relais indépendants, de sorte qu'aucune partie unique ne connaît à la fois qui vous êtes et ce que vous faites. Un VPN est un service commercial où un seul fournisseur achemine votre trafic et peut voir à la fois votre identité et vos destinations. Tor supprime la partie de confiance unique ; un VPN concentre la confiance sur une seule entreprise que vous devez vérifier.

Tor est-il la même chose que le dark web ?

Non. Tor est un réseau d'anonymat permettant d'utiliser l'internet ordinaire de façon privée, et la grande majorité de son trafic correspond à de la navigation web ordinaire. Le « dark web » désigne les services cachés en .onion accessibles uniquement via Tor, qui ne représentent qu'une petite partie de l'activité et vont des marchés criminels à des systèmes légitimes pour lanceurs d'alerte et des miroirs d'actualités destinés aux régions censurées.

Tor est-il sûr à utiliser, et quel est le risque lié au nœud de sortie ?

Tor protège fortement votre identité, mais le dernier relais — le nœud de sortie — peut lire tout trafic que vous envoyez non chiffré, car il retire la dernière couche de Tor pour atteindre la destination. N'importe qui peut faire tourner un relais de sortie, y compris un acteur malveillant ; en 2007, un chercheur a ainsi capturé des identifiants d'ambassades. Utiliser des sites en HTTPS atténue ce risque, puisque votre contenu reste chiffré jusqu'à la destination, même au niveau de la sortie.

Devrais-je choisir Tor ou un VPN ?

Décidez selon votre modèle de menace, et non selon celui qui est étiqueté « le plus respectueux de la vie privée ». Un VPN convient pour dissimuler votre trafic à votre FAI ou débloquer des contenus avec un seul opérateur de confiance et un bon débit. Tor convient aux situations où aucune partie unique ne doit jamais relier votre identité à votre activité, comme le journalisme, la protection des sources ou le contournement de la censure, au prix de la vitesse.