Je me permets de vous contacter pour vous proposer une action concrète en faveur des libertés numériques, de la vie privée et d’un Internet plus libre et résilient.
Le réseau Tor est un outil largement utilisé dans le monde entier pour permettre à des personnes de communiquer et de s’informer sans être surveillées : journalistes, associations, lanceurs d’alerte, militants, mais aussi de simples citoyens soucieux de leur vie privée. Son fonctionnement repose sur des serveurs appelés « relais », hébergés par des organisations et des bénévoles.
Je souhaiterais vous proposer d’héberger un relais Tor dit “non-exit” au sein de votre infrastructure. Concrètement :
les utilisateurs se connecteront ou transiteront via ce relais mais ne pourront pas sortir vers Internet,
il ne présente donc pas de risque lié au contenu consulté par les utilisateurs,
il sert uniquement à renforcer la solidité et la diversité du réseau Tor.
La diversité des hébergeurs est essentielle : plus le réseau est réparti entre différents acteurs, pays et fournisseurs, plus il est difficile à censurer, surveiller ou affaiblir. Le fait que votre association dispose de son propre réseau (AS) rend votre participation particulièrement précieuse à cet égard.
Héberger un tel relais, c’est un geste de solidarité numérique fort : une manière concrète de soutenir la liberté d’expression, le droit à la vie privée et l’accès à l’information, face à la surveillance de masse et aux tentatives de centralisation d’Internet.
Il existe 2 types de relais :
Les relais “classiques”, dont l’IP est publique, qui contribuent au réseau global et qui ont en général beaucoup de trafic (avec tout de même possibilité de brider le débit maximum).
Les relais “bridges”, dont l’IP n’est pas publique, et qui sont utiles aux utilisateurs subissant une censure (Chine, Russie, Iran, etc). Ces pays interdisent généralement l’accès aux IP du réseau Tor.
De mon côté, je peux prendre en charge :
l’installation et la maintenance du relais,
la participation à hauteur de 7€/mois (VPS)
Je serais ravi d’en discuter avec vous et reste à votre disposition pour toute information complémentaire.
Merci pour ta proposition. L’idée de participer au relais Tor a déjà été discutée il y a des années, ceci dit je ne me souviens plus des conclusions, donc ça peut être bien d’en recauser.
L’intérêt de ta proposition
Je trouve que tu exposes bien l’intérêt de mettre en place un nœud Tor et ça rentre parfaitement dans l’objet de l’asso.
Évaluation du risque de blacklistage
Le point principal qui me semble problématique c’est le risque de blacklistage, il me semble que certaines infra ou RBL blacklistent les IPs Tor dans leur ensemble et pas seulement celles des nœuds de sorties.
Parfois c’est la plage d’IP complète qui est blacklistée. Et ça pourrait être un soucis pour toutes les personnes qui ont pris un tunnel VPN ou un VPS chez nous dans l’optique de faire du mail. (et je pense qu’elles sont nombreuses, dans l’absolu ça pourrait mettre en danger l’équilibre financier de l’asso).
Il serait fâcheux qu’on se retrouve dans une situation équivalente à celle de l’association FDN ou du LIR Gitoyen même si les raisons de ce blocage restent assez obscur (il me semble).
Ce point me semble plus mineur. Un tel nœud consomme du réseau et du processeur.
Pour le réseau depuis qu’on a le commit à 1Gbps, je pense que ce n’est plus un frein (alors qu’à l’époque c’était probablement un nogo, juste pour ce point).
Pour le processeur en revanche, ça pose quand même question, je veux dire par là que le processeur est la ressources limitantes chez nous, et qu’il faudrait vérifier qu’il y a bien toutes les instructions de chiffrement nécessaire sur les processeurs qu’on utilise. Alternativement, on pourrait aussi choisir d’héberger une machine spécifique pour ça ou limiter le processeur utilisable pour ne pas impacter les VPS.
Concernant le premier point sur le blacklistage, étant opérateur de relais depuis plusieurs années, je peux te confirmer que certaines listes comprennent également les IP de relais “non-exit”. J’ai eu le soucis lorsque j’hébergeais un relais chez moi. La navigation étant devenue compliquée, j’ai demandé une nouvelle IP et passé mon relais en mode “bridge”. Depuis, plus aucun problème.
Le blacklistage de toutes les IPs Gitoyen est en effet étrange, même s’ils hébergent des relais de sortie pour “Nos Oignons” sur une IP depuis 3 ans (https://metrics.torproject.org/rs.html#search/as:AS20766), cela de devrait pas entrainer un blacklistage de toute la plage.
Cependant, je comprends que ce point peut être bloquant pour vous, étant également FAI.
Concernant les ressources, le 1 Gbps ne sera jamais atteint, donc comme tu le dis, ce ne sera pas un frein. Pour l’utilisation CPU, il faut s’attendre à 30-40% (d’un seul core) d’utilisation moyenne pour un relais classique sur du matériel récent. Mon bridge à la maison tourne sur un processeur basse conso (N100) et ne dépasse jamais 10% d’utilisation. Quelle machine héberge vos VPS actuellement ?