Il semblerait que le billet d’hier n’ait pas fait fuir tout le monde. Tant mieux !

J’ai vraiment pas la forme ce matin, on va faire au mieux.

Hier, donc, nous expliquions à peu près en quoi consiste TOR.
Aujourd’hui on va voir pourquoi bloquer TOR et essayer de trouver une solution pour le faire (virtuellement, je rappelle que je ne veux PAS bloquer TOR).

🌺🌺🌺

Dans ma lose j’ai une chance : mon bloc aucreuxdemoname.fr est hébergé au même endroit et tenu par la même webmaster flemmasse que le site zet-ethique.fr, à savoir moi. On va pouvoir faire des tests croisés.

Les tests croisés c’est un peu la base en support technique : dans un premier temps, on vérifie si ça fonctionne, ou pas, de différents endroits.
Lorsque je faisais de la téléphonie, le test croisé était essentiellement de prendre le téléphone « défectueux », un téléphone fonctionnel et d’échanger les cartes SIM pour exclure un problème de carte ou de matériel.

En gros tu as plusieurs cas de figure, on va appeler le set téléphone + SIM qui ne fonctionne pas le « Set A », on appelle l’autre téléphone + SIM le « Set B ». J’aurais voulu faire plus original mais j’ai pas envie de te perdre 🙂
On fait un tableau qui présente :
– Téléphone A + SIM A = KO
– Téléphone A + SIM B = ? (si ok, la SIM A est défectueuse)
– Téléphone B + SIM B = OK
– Téléphone B + SiM A = ? (si ok, le téléphone A est défectueux)

C’est assez facile à réaliser et ça peut t’éviter un appel au SAV, ça vaut le coup de tenter. Si il s’agit d’une application, on peut tester la même appli sur un autre appareil ou le site sur un autre navigateur et/ou en navigation privée sans extension. Si ça marche ailleurs (autre appareil/autre navigateur), c’est soit :
👉 Que le matériel est en cause (rare)
👉 Que le navigateur ou un plugin est en cause (ça arrive)
👉 Que l’application déconne (ça arrive aussi)

Et là si on ajoute les mêmes tests faits sur un autre appareil, on a un test croisé assez complet et on peu déterminer à peu près le souci.

Alors là j’ai testé la thèse du Professeur Carré @geometriquement qui affirme qu’Akismet bloque TOR browser. Pourquoi pas.

On va déjà préciser plusieurs choses :

🍀 WordPress c’est le « moteur » du site. C’est le système qui permet de gérer le site, de publier et stocker en base de données et sur FTP tes contenus en fonction de leur type. Tout ce qui est textuel sera stocké en base de données. Tout ce qui est média et fichiers de l’ossature du site sont stockés sur un serveur qui stocke…les fichiers. C’est dans le titre : File Transfer Protocol. Tu indiques le nom de ton fichier, il te le donne. Pas sûre que ça nous serve plus tard mais maintenant tu le sais.
WordPress c’est surtout toute l’interface d’administration : on ne peut pas dire d’emblée sans une vérification (minime) qu’on est sur un site WordPress. C’est l’outil qui te permet de gérer le site et tes contenus. Tu écris tes articles sur l’interface WordPress mais, sauf à rechercher, personne ne sait quel moteur fait tourner ton site.

🍀 Ecriture > WordPress > Base de données + FTP > Publication > Affichage sur le site pour les visiteuses.
🍀 Commentaire utilisatrices > WordPress > Base de données > Affichage sur l’interface d’administration.

🍅 Akismet, lui, est un « plugin ». C’est à dire que c’est un outil externe qui se greffe à WordPress pour apporter des fonctionnalités supplémentaires. Ici, éviter à l’admin de supprimer les spams manuellement. Chaque élément bloqué est visible sur la console d’administration.
On peut activer/désactiver le plugin comme on le souhaite mais il est intégré de base avec WordPress et extrêmement répandu, du coup.

🍅 Akismet utilise des listes dynamiques de domaines (le @quelquechose.fr) car le monde du spam a pour vocation d’utiliser toujours de nouveaux noms de domaines. Donc la liste fluctue en permanence en fonction des remontées.
🍅 AKISMET NE PEUT PAS BLOQUER TOR PAR DEFINITION ! Sinon 99% des sites WordPress ne seraient pas consultables via TOR Browser.

Avant de quand même tester, puisqu’on est là, on vérifie si on a pas un système de cache et qu’on a bien tout vidé partout. C’est bon. Pas d’outil de cache sur zet-ethique, cache vidé sur l’autre.

Test d’accès via TOR browser avec Akismet ON sur les deux sites :
– zet-ethique : KO
– aucreuxdemoname : OK

Test d’accès via TOR browser avec Akismet OFF sur les deux sites :
– zet-ethique : KO
– aucreuxdemoname : OK

On peut en déduire qu’Akismet n’est pas en cause.
J’ai testé plusieurs fois, bien sûr.

🌷🌷🌷

Ici on a deux sites crées par la même personne, disposant du même hébergement mutualisé (c’est à dire que c’est un serveur partagé entre plusieurs utilisatrices). Le fait que ce soit mutualisé est digne d’intérêt car cela veut dire que je n’ai pas la main sur le paramétrage du serveur.

Déjà, juste le fait qu’on soit sur un mutualisé diminue immensément la possibilité technique que je puisse bloquer TOR. On va se renseigner.

Après recherches, je peux constater, comme attendu, qu’on peut bloquer TOR sur un réseau domestique et d’entreprise. Effectivement, c’est pas très compliqué. Enfin, si, un peu, oui, mais c’est largement faisable, d’autant plus que la liste des « nœuds » est publique. On bloque le trafic sortant, et voilà.

Si ça t’intéresse, voici deux tutos pour ce faire :
🔸 https://wiki.lesfourmisduweb.org/blocktor.html
🔸 https://www.trendmicro.com/en_us/research/14/b/defending-against-tor-using-malware-part-2.html

Sauf que le souci ne se situe pas au niveau utilisatrice. Les process décrits ci-dessus concerne le trafic SORTANT (de « chez toi » vers « dans l’internette »). Si je peux m’empêcher d’accéder à TOR, c’est plus dur d’empêcher le trafic ENTRANT qui arrive sur le site zet-ethique. Parce que si ça bloque, ça bloque là.

Dans le cas d’un blocage de TOR en local, seul le Pr Carré ne pourrait pas accéder au site, or ce n’est pas le cas. Je ne peux pas non plus accéder au site via TOR browser, sur PC ou smartphone en 4G. Ce n’est donc pas un blocage en « sortie » : ça bloque au niveau de TOR, la requête se perd à un moment.

Google Plus existait encore au moment où cette image a été prise, c’est presque émouvant, on a Vine aussi, c’est délicieusement suranné.

🟦🟦🟦

📛 On va voir si je peux empêcher le navigateur TOR de se connecter au site. 📛

🍘 Je sais que les CDN peuvent bloquer TOR. Les CDN sont des services de mise en cache de médias (à la base : Content Delivery Network) qui permettent une plus grande rapidité du site. Ça stocke tes contenus et fait « tampon » entre l’utilisatrice et le site. Les contenus présentés sont statiques mais sont affichés rapidement. C’est totalement transparent pour toi.

J’utilise Cloudflare pour aucreuxdemoname (qui, je le rappelle, est OK sur TOR),
Comme je n’ai plus la plupart de mes accès pour vérifier ma config (oui toujours pas), je teste via cet outil :
https://www.cdnplanet.com/tools/cdnfinder/

Sans surprise, la détection fonctionne : zet-ethique n’utilise pas de CDN, aucreuxdemoname en utilise un. En toute logique, si le CDN bloquait TOR, ce serait l’inverse : on devrait pouvoir accéder à zet-ethique mais pas à aucreuxdemoname.

🍘 Autre piste : le requête trop longue qui redirige trop souvent. Ça arrive même aux meilleures.
Je vais donc vérifier si ma requête HTTP(S) parcourt un chemin particulier lorsque je l’appelle. Je vérifie via https://httpstatus.io/

La requêtes n’est pas du tout redirigée, le chemin est simple :
Requête > Serveur > Code 200 = OK affichage de la page.

🍘 On peut utiliser un firewall au niveau serveur. Je vais voir si j’ai la possibilité de régler ça (j’espère que j’ai le bon mot de passe sinon on est dedans)(ouf). On va aller regarder du côté de l’admin, après recherche aucune option de base de l’hébergeur ne permet de bloquer TOR.
…alors en allant sur mon Cpanel je peux bloquer des IP. On va voir. Bon, déjà, zéro IP bloquée de base. Et je ne peux pas insérer de liste à bannir, je ne peux que le faire IP par IP. Avec 7925 IP différentes sur la liste (https://www.dan.me.uk/torlist/), autant te dire que c’est non. Et je ne peux pas en bloquer seulement une, évidemment, ça a toutes les chances de ne rien changer.
On met de côté pour le moment, je ne peux pas encore répondre à la question.

🍘 En revanche j’ai « ModSecurity » qui est activé. C’est un module de sécurité. Je vais tenter de le désactiver pour tester très rapidement.
……….et ça ne change rien 🙂

🍘 Au niveau gestion serveur, je suis hyper limitée, je ne peux changer que les types de fichiers et extensions dans Apache (l’outil de configuration serveur) pour un traitement de script CGI et autres fichiers analysés côté serveur.
Aucun gestionnaire n’est mis en place.

En gros, je n’ai que ces possibilités là au niveau de l’hébergeur.

🧅🧅🧅

Pour le moment on a fait chou blanc.
On va donc directement envoyer un ticket auprès de l’hébergeur pour demander confirmation.

« Bonjour,

Un utilisateur insiste pour aller sur un de mes sites via TOR (le site : zet-ethique.fr). et affirme que je bloque TOR de manière volontaire. Cela me semble improbable que je puisse effectivement bloquer TOR sur ce site, d’autant plus que le domaine principal (aucrexdemoname.fr) fonctionne correctement.

Néanmoins, je me dois de vous poser la question : avez-vous connaissance de configuration CPanel qui permette de bloquer TOR sur un site ? Je peux utiliser la liste d’IP à bannir mais je ne peux les entrer qu’une par une. C’est peu pratique pour mes tests.

Je voudrais simplement confirmer que le blocage ne vient pas de l’hébergeur pour continuer mes investigations. Mon but n’est PAS de bloquer TOR mais de confirmer que le problème vient bien de la mauvaise configuration du site.

Merci par avance !
Bien cordialement. »

En attendant la réponse, et bien on va dire qu’on est bien pour aujourd’hui, non ? C’était pas trop long, tu as appris à réaliser un test croisé et tout !
Si, comme je le pense, TOR est ralenti par la configuration de WordPress, cela va me prendre un peu de temps pour l’optimiser et je ne te ferai pas subir mes dizaines de tests, car la première étape hyper laborieuse est de désactiver toutes les extensions et donc d’altérer le fonctionnement du site. Je ne vais pas faire ça en pleine journée, non.

Donc on va se caler tranquillement, mais déjà, notons qu’à ce stade (serveur) je ne peux rien bloquer.

(edit octobre 2022 : le SAV de l’hébergeur m’a fait une réponse de base insatisfaisante, j’ai pas eu envie de me prendre la tête encore mille ans avec ce non-problème, car ce type peut aussi utiliser un navigateur classique, merde)