Comment fonctionne OnionShare

Les serveurs web sont démarrés automatiquement sur votre ordinateur et rendus accessibles à autrui en tant que service onion Tor .

Par défaut, les adresses Web OnionShare sont protégées avec une clé privée.

Les adresses OnionShare ressemblent à quelque chose comme ça

http://oy5oaslxxzwib7fsjaiz5mjeyg3ziwdmiyeotpjw6etxi722pn7pqsyd.onion

Et les clés privées ressemblent à quelque chose comme ça : :

K3N3N3U3BURJW46HZEZV2LZHBPKEFAGVN6DPC7TY6FHWXT7RLRAQ

C’est votre responsabilité de partager de manière sécurisée les URL et les clé privées. Vous pouvez le faire en utilisant un moyen de communication de votre choix, par exemple un message dans une conversation chiffrée, ou en utilisant quelque chose de moins sécurisé comme un courriel non-chiffré, tout cela dépendant de votre threat model.

Les personnes à qui vous envoyez l’URL peuvent ensuite la copier-coller dans leur Navigateur Tor pour accéder au service OnionShare. Le Navigateur Tor va ensuite demander la clé privée, que les personnes peuvent aussi copier-coller.

_images/private-key.png

Si vous utilisez OnionShare sur votre ordinateur portable pour envoyer des fichiers, et que vous le mettez en veille avant que les fichiers ne soient transférés, le service ne sera pas disponible tant que votre ordinateur portable ne sera pas de nouveau actif et connecté à internet. OnionShare marche mieux quand les personnes travaillent en temps réel.

Parce que votre propre ordinateur est le serveur web, aucun tiers ne peut accéder à ce qui se passe sur OnionShare, pas même les développeurs d’OnionShare. C’est totalement confidentiel. Et parce que OnionShare est basé sur les services oignons Tor, cela protège aussi votre anonyma. Voir le :doc:`security design </security>`pour plus d’information.

Partager des fichiers

Vous pouvez utiliser OnionShare pour envoyer des fichiers et des dosiers à des personnes de manière sécurisé et anonyme. Ouvrez un onglet partage, déplacez dedans les fichiers et les dossiers que vous souhaitez partager, et cliquer « Commencer à partager ».

_images/share.png

Après avoir ajouté les fichiers, vous allez voir certains paramètres. Soyez certains de choisir les paramètres qui vous intéressent avant de commencer à partager.

_images/share-files.png

Dès que quelqu’un à finit de télécharger vos fichiers, OnionShare va automatiquement arrêter le serveur, retirant le site Web d’internet. Pour autoriser plusieurs personnes à télécharger les fichiers, vous devez décocher la boîte « Cesser le partage une fois que les fichiers ont été envoyés (décocher afin de permettre le téléchargement de fichiers individuels) ».

Aussi, si vous décochez cette case, les personnes seront capables de télécharger les fichiers individuels que vous partagez plutôt qu’une unique version compressée de tout les fichiers.

Quand vous être prêt à partager, cliquer sur le bouton « Commencer à partager ». Vous pouvez toujours cliquer « Arrêter de partager », ou quitter OnionShare, mettant immédiatement le site hors-ligne. Vous pouvez aussi cliquer l’icône « ↑ » dans le coin en haut à droite pour montrer l’historique et la progression des personnes qui téléchargent vos fichiers.

_images/share-sharing.png

Maintenant que vous avez OnionShare, copier l’adresse et la clé privée et envoyez les à la personne censée recevoir les fichiers. Si les fichiers doivent restés sécurisés, ou si la personne est exposée au danger, utilisez une application de messagerie chiffrée.

Cette personne doit ensuite charger l’adresse dans Tor Browser. Après s’être connecté avec la clé privée, les fichiers peuvent être téléchargés directement depuis son ordinateur en cliquant sur le lien « Télécharger les fichiers » dans le coin.

_images/share-torbrowser.png

Recevoir les fichiers et les messages

Vous pouvez utiliser OnionChare pour permettre aux personnes de vous envoyer de manière anonymes des fichiers et des messages directement sur votre ordinateur, le transformant en une sorte de dropbox anonyme. Ouvrez un onglet de réception et choisissez les paramètres que vous voulez.

_images/receive.png

Vous pouvez sélectionner un dossier pour sauvegarder les messages et les fichiers qui vous sont envoyés.

Vous pouvez cocher la case « Désactiver l’envoi de texte » si vous ne voulez qu’autoriser le téléversement de fichiers, et vous pouvez cocher la case « Désactiver le téléversement de fichiers » si vous ne voulez qu’autoriser l’envoi de messages texte, par. ex. pour un formulaire anonyme de contact.

Vous pouvez cocher « Utiliser un point d’ancrage Web de notification », puis choisir une URL de point d’ancrage Web si vous souhaitez être informé de l’envoi de fichiers ou de messages vers votre service OnionShare. Si vous utilisez cette fonction, OnionShare effectuera une requête HTTP POST vers cette URL chaque fois que quelqu’un enverra des fichiers ou messages. Par exemple, si vous voulez obtenir un message texte chiffré sur l’appli de messagerie Keybase, vous pouvez lancer une conversation avec @webhookbot, taper !webhook create onionshare-alerts, et une URL sera retournée. Utilisez-la comme URL du point d’ancrage Web de notification. Si quelqu’un téléverse un fichier vers votre service en mode réception, @webhookbot vous enverra un message sur Keybase pour vous en informer immédiatement.

Une fois prêt, cliquez sur « Démarrer le mode réception ». Cela démarre le service OnionShare. Quiconque charge cette adresse dans son Navigateur Tor pourra envoyer des fichiers et des messages qui seront téléversés vers votre ordinateur.

_images/receive-sharing.png

Vous pouvez aussi cliquer l’icône « ↓ » dans le coin en haut à droite pour montrer l’historique et la progression des personnes qui vous envoient des fichiers.

Voilà à quoi cela ressemble quand quelqu’un vous envoi des fichiers et des messages.

_images/receive-torbrowser.png

Si quelqu’un envoie des fichiers ou des messages à votre service de réception, ils sont enregistrés par défaut dans un dossier appelé OnionShare dans le dossier personnel de votre ordinateur, organisé automatiquement en sous-dossiers distincts selon l’heure de téléversement des fichiers.

Mettre en place un service de récupération OnionSare est utile pour les journalistes et celleux qui ont besoin d’accepter de manière sécurisée des documents depuis une source anonyme. Utilisé de cette manière, OnionShare est une sorte de plus légère, plus simple et pas aussi sécurisé version de SecureDrop, le système de soumission pour les lanceurs d’alerte.

Utiliser à vos propres risques

Tout comme pour les fichiers malveillants joints aux courriels, il est possible que quelqu’un tente d’attaquer votre ordinateur en téléversant un fichier malveillant vers votre service OnionShare. OnionShare n’ajoute aucun mécanisme de sécurité pour protéger votre système contre les fichiers malveillants.

Si vous recevez un document Office ou un PDF depuis OnionShare, vous pouvez convertir ces documents en PDFs qui sont sans danger à ouvrir en utilisant Dangerzone. Vous pouvez aussi vous protéger en ouvrant ces documents non approuvé en les ouvrant dans Tails ou dans machine virtuel jetable Qubes.

Cependant, il est toujours prudent d’ouvrir les messages texte envoyés par OnionShare.

Conseils pour faire tourner un service de réception

Si vous souhaitez héberger votre propre boîte de dépôt anonyme à l’aide d’OnionShare, il est recommandé de le faire sur un ordinateur distinct et dédié, toujours allumé et connecté à Internet, et non sur celui que vous utilisez régulièrement.

Si vous avez l’intention de mettre l’adresse d’OnionShare sur votre site Web ou vos profils de médias sociaux, enregistrez l’onglet (voir Sauvegarder les onglets) et exécutez-le en tant que service public (voir Désactiver la Clé Privée). C’est aussi une bonne idée de lui donner un titre personnalisé (voir Titres personnalisés).

Héberger un site web

Pour héberger un site internet HTML statique avec OnionShare, ouvrez un onglet site internet, déplacez les fichiers et dossiers qui composeront le contenu statique dedans, et cliquez sur « Commencer à partager » quand vous êtes prêt.

_images/website.png

Si vous ajoutez un fichier index.html, cela sera généré quand quelqu’un chargera votre site. Vous pouvez aussi inclure n’importe quel autre type de fichiers HTML, CSS ou JavaScript, ainsi que des images pour faire votre site. (Notez que OnionShare ne supporte que l’hébergement de sites internets statique. Il ne peut pas héberger des sites internets qui éxécute du code ou utilise des bases de données. Ainsi vous ne pouvez pas utilisez WordPress.)

Si vous n’avez pas un fichier index.html, cela montrera une liste des répertoires à la place, et les personnes le chargeant pourront parcourir les fichiers et les télécharger.

Après avoir ajouté les fichiers, vous allez voir certains paramètres. Soyez certains de choisir les paramètres qui vous intéressent avant de commencer à partager.

_images/website-files.png

Politique de sécurité du contenu

Par défaut, OnionShare aide à sécuriser votre site Web en définissant un en-tête strict Content Security Policy. Cependant, cela empêche le chargement de contenu tiers à l’intérieur de la page Web.

Si vous souhaitez charger du contenu provenant de sites Web tiers, comme des ressources ou des bibliothèques JavaScript provenant de CDN, vous avez deux possibilités :

  • Vous pouvez désactiver l’envoi d’un en-tête de politique de sécurité du contenu en cochant la case « Ne pas envoyer d’en-tête de politique de sécurité du contenu (permet à votre site Web d’utiliser des ressources tierces) » avant de lancer le service.

  • Vous pouvez envoyer un en-tête personnalisé de politique de sécurité du contenu.

Conseils pour faire fonctionner un site web de service

Si vous souhaitez héberger un site web à long terme en utilisant OnionShare (c’est-à-dire pas seulement pour montrer rapidement quelque chose à quelqu’un), il est recommandé de le faire sur un ordinateur séparé, dédié, toujours allumé et connecté à Internet, et non sur celui que vous utilisez régulièrement. Sauvegardez l’onglet (voir Sauvegarder les onglets) afin de pouvoir reprendre le site avec la même adresse si vous fermez OnionShare et le réouvrez plus tard.

Si votre site web est destiné au public, vous devez le faire fonctionner comme un service public (voir Désactiver la Clé Privée).

Discuter anonymement

Vous pouvez utilisez OnionShare pour mettre en place une salle de discussion privée et sécurisée qui n’enregistre rien. Ouvez juste un onglet discussion et cliquer « Lancer le serveur de discussion ».

_images/chat.png

Après avoir démarré le serveur, copiez l’adresse et la clé privée d’OnionShare et envoyez-les aux personnes que vous souhaitez voir dans le salon de discussion anonyme. S’il est important de limiter le nombre exact de participants, utilisez une application de messagerie cryptée pour envoyer l’adresse et la clé privée de OnionShare.

_images/chat-sharing.png

Les gens peuvent rejoindre la salle de discussion en chargeant l’adresse OnionShare dans le navigateur Tor. La salle de discussion nécessite JavaScript, celleux qui souhaitent rejoindre la salle de discussion doivent mettre le niveau de sécurité de leur navigateur Tor à « Normal » ou « Plus sûr », à la place de « Le plus sûr ».

Quand une personne rejoint la salle de discussion, elle reçoit un nom aléatoire. Elle peut changer son nom en tapant un nouveau nom dans l’espace à gauche et en pressant ↵. Comme l’historique de la discussion n’est enregistré nulle part, il n’est pas du tout affiché, même si d’autres personnes étaient déjà en train de discuter dans la salle.

_images/chat-torbrowser.png

Dans une salle de discussion OnionShare, tout le monde est anonyme. N’importe qui peut changer son nom en n’importe quoi, et il n’y a aucun moyen de vérifier l’identité de quiconque.

Malgré cela, si vous créer une salle de discussion OnionShare et envoyer l’adresse de manière sécurisée à un petit groupe d’amies de confiance en utilisant des messages chiffrées, vous pouvez être raisonnablement confiant dans le fait que les personnes rejoignant la salle de discussion sont vos amies.

En quoi ceci est-il utile ?

Si vous avez besoin de déjà utiliser une messagerie chiffrée, quel est le point du salle de discussion OnionShare ? Cela laisse moins de traces.

Si, par exemple, vous envoyez un message à un groupe Signal, une copie de votre message se retrouve sur chaque appareil (les téléphones intelligents et les ordinateurs si Signal Desktop pour ordinateur est installé) de chaque membre du groupe. Même si les messages éphémères sont activés, il est difficile de confirmer que toutes les copies des messages sont effectivement supprimées de tous les appareils et de tous les autres endroits (tels que les bases de données des notifications) où elles ont pu être sauvegardées. Les salons de discussion OnionShare ne stockent aucun message, ce qui réduit le problème au minimum.

Les salons de discussion OnionShare peuvent également être utiles aux personnes souhaitant discuter de manière anonyme et sécurisée avec quelqu’un sans avoir à créer de compte. Par exemple, une source peut envoyer une adresse OnionShare à un journaliste en utilisant une adresse électronique jetable, puis attendre que le journaliste rejoigne le salon de discussion, le tout sans compromettre son anonymat.

Comment marche le chiffrement ?

Parce que OnionShare repose sur les services ognon de Tor, la connexion entre le navigateur Tor et OnionShare sont toutes chiffrées de bout-à-bout (E2EE). Quand quelqu’un poste un message dans une discussion OnionShare, le message est envoyé au serveur à travers la connexion ognon E2EE, qui l’envoi ensuite à tout les autres membres de la salle de discussion en utilisant WebSockets, à travers leurs connexions oignon E2EE.

OnionShare n’implémente aucun chiffrement de lui même. A la place, il utilise le chiffrement des services ognon Tor.