Dans ce billet je regroupe des témoignages de personnes anonymes, recueillies via un pad, ayant pour demande quelles sont les messageries mails (webmail) accessible en passant par le réseau Tor et celles qui posent soucis. Merci aux participant-e-s. Les informations sont à valider et ne sont donc pas des affirmations catégoriques. Si vous avez d'autres témoignages à apporter, n'hésitez pas à le faire dans les commentaires. Merci.

L'accès aux messageries mail via le webmail est généralement fait via le TorBrowser (si ce n'est pas précisé). Si nécessaire, le javascript est activé au cas par cas, pour l'utilisation des sites mentionnés.

Tor et les Messageries mails

La messagerie de Free Personnellement, je n'ai jamais utilisé Tor pour me connecter à ma messagerie Free (Free sait qui je suis depuis des années et je n'ai pas eu un cas nécessitant le passage par Tor. Si besoin, je passe par le VPN de la Freebox).

Apparement, le fait de se connecter à sa boite mail Free depuis Tor vaut blocage systématique de sa boite mail pour "utilisation suspecte" ou quelque chose d'approchant. Il faut alors contacter le support de Free pour demander un déblocage.

Gmail via Tor Il est impossible de créer un nouveau compte.

Quand on se connecte à son compte Gmail avec les vrais identifiants et mots de passe, on reçoit un mail du type :
Bonjour, Un tiers a récemment utilisé votre mot de passe pour se connecter à votre compte Google xxxxxxxxx@gmail.com. Nous avons bloqué la tentative de connexion dans l'éventualité où il s'agirait d'un pirate informatique essayant d'accéder à votre compte. Veuillez examiner les détails de la tentative de connexion : samedi xx octobre 2015 10 h 03 UTC Adresse IP : 171.xxx.xxx.xxx (tor-exit2-readme.xxx.xx) Position : inconnue Si vous n'avez pas effectué cette tentative de connexion, cela signifie peut-être qu'un tiers essaie d'accéder à votre compte. Nous vous conseillons de vous connecter à votre compte et de réinitialiser votre mot de passe immédiatement.
Réinitialiser le mot de passe
Cordialement,
L'équipe Comptes Google

Un blocage surviendrait après quelques connexions via Tor. Il serait alors impossible de déverrouiller sans fournir des informations très particulières sur l'utilisation de la messagerie (date de création, date de dernière connexion, contacts fréquents, labels personnalisés, etc…). Ce qui peut être gênant quand c'est une adresse "poubelle" et que l'on ne peut pas répondre aux questions de manière satisfaisante.

Yahoo Mail : il semblerait que la création de compte et l'accès soit possible (Mais la personne ayant apportée cette information précise la période d'utilisation est encore courte, il faudrait voir si ça tient sur la durée).

Hotmail au moins 2 comptes bloqués après quelques mois d'utilisation, mais l'inscription s'était pourtant faite assez facilement. Impossible à déverrouiller sans fournir des infos (téléphone, papiers d'identité) que je n'ai pas envie de donner.

Tor et les réseaux sociaux

Facebook Une personne a vu son compte bloqué à cause de l'utilisation d'un pseudonyme (ce qui est conforme à leurs directives) mais le fait d'y accéder via TOR a clairement fait apparaitre le compte sur les radars de Facebook. D'autres contacts se connectant normalement ont des noms de comptes aux pseudonymes bien plus reconnaissables mais n'ont pas été bloqués pour autant. Je pense par contre que si j'avais utilisé un pseudo plus générique ("Jean Dupont" par exemple) le compte n'aurait peut-être pas été bloqué. Il faut en tout cas faire attention au pays du noeud de sortie lors de la création du compte pour choisir un pseudo à consonance adaptée à la langue du pays.

A noter que Facebook propose un hidden service, dispose d'une adresse en .oinion et est donc "Tor friendly".

Twitter Un témoignage indique qu'il n'a pas eu de problème pour l'instant. Mais le compte a été créé il y a longtemps et la personne se connecte exclusivement dessus via TOR. Dans mon cas, le compte a été crée en 2008, je passe par Tor, mais j'ai activé la double authentification (Oui Twitter connait mon numéro de téléphone, lire à ce sujet Réflexions autour des double facteurs d'authentification)

D'autres sites

Selon les sites, on rencontre :
un blocage par IP avec refus d'accès au site ;
la nécessité de saisir un captcha (et donc d'activer javascript) ;
on arrive sur le site sans soucis et tout se passe bien (sisi, ça existe).

Tumblr : Un témoignage indique que la personne n'a pas de problème à l'utilisation pour l'instant, (avec un compte dont l'inscription a été faite avant de commencer à utiliser TOR).

Youtube : Ca marche si on active le javascript. Et ce sans avoir de compte. On a les publicités dans la langue du noeud de sortie, ce qui est intéressant.

Rappel

Si vous avez d'autres témoignages à apporter, n'hésitez pas à le faire dans les commentaires. Merci ;-)

Je me fais le relais de l'appel à Soutien de la Quadrature du Net. La Quadrature fait tend pour nos défenses de nos libertés et d'Internet, que ce n'est que la moindre des choses que de relayer l'information pour ceux qui ne l'auraient pas encore vu. En donnant à la Quadrature du Net, vous aidez à la défense des libertés fondamentales sur Internet et au-delà. Vos dons constituent la ressource principale de notre action et le gage de notre indépendance. Pour nous permettre d'avoir une meilleure vue sur notre budget, nous vous proposons de mettre en place prioritairement un don régulier, même modeste. Mais vous pouvez bien sûr nous faire un don ponctuel qui sera tout autant apprécié !

Le pourquoi, le comment, le but du don, tout ça est très bien expliqué sur différentes pages sur la page de soutien
A quoi sert votre don ?
Que fait LQDN ?
Comment fonctionne LQDN ?
Je vous renvois donc vers ces textes.

Si ce n'est pas fait, n'oubliez pas de donner, même très peu. Chaque don compte. Pour ça, une seule adresse : https://soutien.laquadrature.net/

A lire également le point de vue/billet de Tristan Nitot, ex Mozilla maintenant chez CozyCloud

On m'a posé cette question la suivante : Comment mon employeur sait quels sites je visite même si j'utilise la page vie privée de Firefox ?

On commencera par quelques rappels (issus de mon support de conférence Numok - Festival numérique des bibliothèques de la ville de Paris Conférence sur le thème de "Reprendre le contrôle sur votre vie privée

Les traces de navigation locales

Quand on va sur Internet, plein de fichiers sont créés :
Historique des pages visitées,
Données saisies dans les formulaires et barres de recherche,
Les mots de passe conservés,
La liste des téléchargements,
Les cookies,
Les fichiers temporaires...)
Tout ce que l'on fait depuis son navigateur, est, par défaut, conservé sur notre ordinateur, tablette, smartphone...

Les logs de connexions - Les traces laissées sur les sites Internet

Les serveurs Internet gardent différentes traces dont :
l'adresse IP
les heures et dates de connexion
les informations saisies...
le navigateur, son modèle, le système d'exploitation...

La navigation en mode privée
Quelles données ne sont pas enregistrées durant la navigation privée ?
pages visitées ;
saisies dans les formulaires et la barre de recherche ;
mots de passe ;
liste des téléchargements ;
cookies ;
fichiers temporaires ou tampons.

Cas d'une connexion derrière un proxy d'entreprise

En entreprise, un proxy est un ordinateur qui est mis sur le réseau entre les ordinateurs des salariés et Internet. Il permet de filtrer/bloquer l'accès à certains sites Internet. L'ordinateur du salarié demande à aller sur le site Internet. Mais son ordinateur n'est pas directement relié à Internet, il est relié à un proxy qui lui-même est relié à Internet. Donc quand l'employé demande à aller sur un site, il demande au proxy d'aller sur le site Internet pour lui. Le proxy sert d'intermédiaire, vérifie que le site est autorisé ou si il est bloqué. Le proxy va sur Internet chercher les informations et les transmets ensuite au PC de l'employé, qui lui n'est jamais allé sur Internet.

De ce fait, les administrateurs systèmes et réseaux retrouvent donc la liste de tous les sites consultés par les différents employés dans les traces/journaux/logs du proxy. Et donc le mode navigation privée ne marche pas dans ce cas, car les traces ne sont pas laissées sur le PC (vu qu'on est en mode navigation privée) mais sur un autre ordinateur (le fameux proxy).

Pour approfondir et aller plus loin

Attention, contourner une mesure de sécurité de l'entreprise (d'autant plus que l'on signe souvent une charte de l'usage des outils informatique), quelle qu'elle soit, est une faute professionnelle pouvant aller jusqu'au licenciement.
Proxy automatique : connaître l'adresse
Connexion à Tor via un proxy d'entreprise
Tor à travers un proxy - vulgarisation
Man in the middle par l'Entreprise

Attention, contourner une mesure de sécurité de l'entreprise (d'autant plus que l'on signe souvent une charte de l'usage des outils informatique), quelle qu'elle soit, est une faute professionnelle pouvant aller jusqu'au licenciement.

Au premier lancement du TorBrowser Bundle, on a la fenêtre suivante :

Si on a une connexion directe à Internet, on peut cliquer sur Connect. Par contre, si on est derrière un proxy d'entreprise, il faut faire un minimum de configuration. On clique donc sur "Configure".

La connexion ayant besoin d'un proxy, on choisit "Oui" à la question sur l'usage d'un proxy.

On rempli les informations selon le type de proxy (si on ne les connait pas, on peut regarder dans Internet Explorer>Outils>Options Internet, dans la fenêtre qui s'ouvre, l'onglet Connexion, le bouton en bas à droite "Paramètres réseaux" la zone "Serveur proxy").

Si on ne sait pas si la connexion passe par un parefeu/firewall qui bloque certains ports, on choisira yes

et on prendra les options par défaut (port Http et Https).

Normalement, en dehors du fait qu'il y ait un proxy, la connexion à Internet n'est pas censurée, on n'a pas besoin de passer par un pont relais particulier. On cliquera donc sur connect.

A lire également
Proxy automatique : connaître l'adresse
Tor à travers un proxy - vulgarisation
Pourquoi veut-on à tout pris contourner le proxy du boulot ?
Voir sa véritable IP même derrière un proxy

Présentation du documentaire

Le sujet de ce documentaire surprenant est le suivant : nous sommes tous amenés à accepter régulièrement des conditions générales d'utilisation lorsque nous naviguons sur le web ou faisons usage d'appareils numériques. Celles-ci impliquent souvent l'abandon de nos données personnelles et de notre sphère privée mais nous ne les lisons pas pour autant, et les acceptons systématiquement.

Les Nouveaux loups du web a pour mission d'éclairer les utilisateurs d'Internet qui ne sauraient pas encore à quoi ils s'engagent en signant ces fameuses conditions générales d'utilisation des données privées.

Les Nouveaux loups du web sort en avant-première le 15 novembre en haut des Champs-Elysées au Publicis Cinémas avec Framasoft/Pierre-Yves Gosset et La Quadrature du Net/ Adrienne Charmet-Alix en intervenants à la fin de la projection. Lien vers la billetterie pour l'avant-première

La bande annonce de ce film est disponible au visionnage sur Youtube, vous permettant de vous faire une idée des thèmatiques et du contenu.

Vous trouverez également plus d'informations sur la page Facebook et sur le site Internet de jupiter-films.com

Rq : Pour éviter toute remarque ou critique sur la présence d'une page Facebook et d'une bande annonce sur Youtube, j'insiterai brièvement sur la légitimité de ce choix : il faut toucher le public là où il est et donc sur ces canaux de diffusion. Et non ce n'est pas contradictoire avec le sujet du documentaire. Si ces médias ne sont pas utilisés, seules les personnes connaissant déjà le sujet seront au courant de la sortie de ce documentaire... Si les personnes ayant vu la page Facebook ou la bande-annonce sur Youtube vont voir ce documentaire et comprennent ensuite la problématique qu'elles ne connaissaient pas forcément avant, alors le but est atteind.

Pourquoi aller voir ce film ?

Bien que sortit en 2013 aux USA, il n'est pas encore sorti en France. L'avant-première est l'occasion de découvrir ce film, de la présence d'un public permettra de motiver les distributeurs à le diffuser dans différentes salles de France. Là encore, le but étant qu'il soit accessible et vu par le plus grand nombre, dans un but de sensibilisation et diffusion de l'information.

De plus la projection est suivi d'un débat et au vue de noms des personnes invité-e-s, cela sera un débat intéressant et enrichissant.

Si dans votre entourage, il y a des personnes qui ne comprennent pas votre intérêt ou au contraire s'intéressent un peu aux problématiques de la vie privée à l'ère d'Internet, leur parler de ce film et les inciter à le voir lors de cette avant-première ou lors de sa sortie en salle peut être une bonne entrée en matière.