bonjour!
J’ai installé les paquets iceweasel-tor et privoxy pour une navigation anonyme; je n’ai rien à cacher,c’est juste pour la curiosité.Tout fonctionne correctement mais je me pose la question de la sécurité de cette installation;les serveurs relais qui assurent le fonctionnement de l’anonymat ne sont pas connus et des pirates pourraient très bien balancer du code malicieux.
Bref;est il prudent d’utiliser tor? 
Côté sécu, je ne sais pas mais je sais, pour l’avoir essayé un certain temps, que ça ralentit sérieusement la machine.
salut ricardo
effectivement ça ralentit un peu mais bon ça fonctionne encore pas trop mal mais ce qui me cause souci c’est l’aspect sécurité, je ne voudrais pas me faire balancer un rootkit ou une “merde” du même acabit 
En théorie rien n’est impossible.
En pratique c’est déjà plus compliqué.
Les ordinateurs sont choisis par ton logiciel au hasard, pour commencer, donc un pirate ne peut pas prédire avec certitude quels ordinateurs tu vas utiliser et il va donc lui être difficile de cibler ta machine pour l’attaquer spécifiquement.
Ensuite il faut bien voir qu’il y a une triple encapsulation des paquets (en gros, c’est comme si tu utilisais 3 VPN l’un sur l’autre), avec une méthode de chiffrement assez costaud pour ne pas être cassée rapidement (je crois que c’est de l’AES-256).
Ainsi, si un pirate arrive à déchiffrer ce qui passe par son ordi (ce qui est déjà très très fort), il ne verra qu’un flux de données doublement chiffré. Et là il devra alors cracker les 2 couches de chiffrement avant de voir les données en clair. Et ça doit impérativement se faire selon un certain ordre puisque pour déchiffrer une couche il faut d’abord cracker celle qui la protège…
Enfin, une fois que le pirate aura réussi à déchiffrer ta connexion, il n’aura pas plus de 10 min pour s’en servir puisque la route qu’emprunte Tor change aléatoirement toutes les 10 min… J’ai du mal à voir quel pirate aurait assez de moyens pour déchiffrer 3 couches AES en quelques minutes, mis à part la NSA peut être.
Et s’il arrive à surmonter tous ces obstacles, il faudra alors qu’il sache quel système tu utilises et qu’il soit capable d’exploiter les failles de ton OS ou navigateur pour pirater ta machine. Il peut certes renvoyer des informations erronées ou voler tes mots de passes qui transiteraient en clair (enfin s’il en est là, il saura aussi déchiffrer tes mots de passes SSH je pense ^^), mais il sera contraint d’exploiter les failles de ta machine pour te pirater. Alors c’est vrai que ce n’est pas le plus difficile, mais à vrai dire il n’a pas besoin de cracker les connexions Tor pour s’amuser à pirater une machine ! Donc s’il cracke les connexions Tor ce sera pour espionner les données ou voler des codes ou des informations sensibles.
Mais le pirate qui ferait ça serait finalement bien idiot puisqu’il suffit de mettre en place un noeud Tor “final” (comprendre un noeud qui relie le réseau Tor au web) pour voir les données transiter en claires. Ben oui, si tu veux que tes requêtes soient comprises par les sites web, il faut bien qu’elles arrivent en clair ! Donc effectivement il est relativement facile de renvoyer des données erronées ou de voler des mots de passes (s’ils sont en clair, d’où l’intérêt d’activer SSH dans les webmails). Mais ça n’est pas pour autant qu’on arrivera à pirater ta machine puisqu’on ne connaît pas l’IP qui fait ces requêtes. Et même si on la connaissait, ça reviendrait à essayer de pirater une machine classique.
Donc mon conseil : ne pas utiliser Tor pour aller sur des boîtes mails ou des sites bancaires !! Sinon vous prenez le risque que le noeud final regarde ce qui transite et intercepte vos données… (ou vous en renvoie des mauvaises mais si vous êtes un internaute prudent et averti, ça ne sera pas pire qu’un banal phishing, donc pas grand chose à craindre).
Enfin pour les boîtes mails ça dépend, on peut très bien imaginer quelqu’un qui souhaiterait envoyer un mail anonyme. Dans ce cas le mieux serait de pirater une connexion wi-fi n’importe où, d’utiliser Tor pour se créer une boîte mail, d’envoyer le mail et de ne plus jamais utiliser ni la boîte mail, ni le réseau wi-fi. Mais bon, là je m’égare…
merçi Cluxter pour avoir pris le temps de me répondre aussi longuement et avec autant de details qui ont éclairé ma lanterne;message reçu et de toute manière je n’utilise tor que pour surfer ,donc sans risque accru pour la sécurité de ma machine.
Question marquée résolue. 
Une petit complément : des technologies comme Javascript peuvent, en une ligne, renvoyer l’adresse IP de ton ordi au site web auquel tu te connectes. Or on peut imaginer que cette info est envoyée en clair au site web. Donc le noeud “final” qui voit les données pourrait également intercepter ton IP. Mieux, il pourrait injecter une ligne en Javascript dans une page web pour demander à ton ordi d’envoyer l’IP au site web (alors que le site web ne l’avait pas demandé à la base), ce qui permettrait au noeud d’avoir ton IP. Donc oui l’injection de paquets peut être faite dans le réseau Tor, mais Tor ne permet pas de “mieux” pirater ton ordi qu’à l’ordinaire. A moins que le logiciel Tor en tant que tel fasse l’objet de failles type buffer overflow ou assimilables, ça ne dégrade pas la sécurité de ta connexion.
Moi j’ai testé Tor une semaine, pour “voir”, et j’en ai conclu qu’il est inutilisable. Quand ça mets plusieurs minutes à afficher un article de libération.fr, par exemple, ça tourne vite à la torture psychologique !
Pour éviter le pb de javascript, il est indispensable d’utiliser noscript, mais cela vous exclut de l’usage de nombreux sites. Un peu comme les cookies d’ailleurs, prenez le géoportail, pas de cookie, pas de géoportail !