La signature numérique est un processus qui garantit qu’un paquet précis a été généré par ses développeurs et n’a pas été altéré. Nous expliquons ci-dessous pourquoi c'est important et comment vérifier que le navigateur Tor que vous téléchargez est bien celui que nous avons créé et qu'il n'a pas été modifié par un attaquant.

Chaque fichier sur notre page de téléchargement est accompagné d’un fichier étiqueté "signature" avec le même nom que le paquet et l’extension ".asc". Ces fichiers .asc sont des signatures OpenPGP. Ils vous permettent de confirmer que le fichier que vous avez téléchargé est exactement celui que nous vous voulions que vous obteniez. Cela peut varier d’un navigateur à l’autre, mais généralement vous pouvez télécharger ce fichier avec un clic-droit sur le lien "signature" et en sélectionnant l’option "Enregistrer en tant que".

Par exemple, tor-browser-windows-x86_64-portable-13.0.1.exe est accompagné de tor-browser-windows-x86_64-portable-13.0.1.exe.asc. Ce sont des exemples de noms de fichiers et ils ne correspondent pas exactement aux noms de fichiers que vous téléchargez.

Ci-dessous, nous vous expliquons comment vous pouvez, sur différents systèmes d’exploitation, confirmer la signature numérique du fichier téléchargé. Veuillez noter qu’une signature est datée dès que le paquet a été signé. Par conséquent, chaque fois qu’un nouveau fichier est téléversé, une nouvelle signature est générée avec une date différente. Tant que vous aurez confirmé la signature, vous ne devriez pas vous inquiéter si la date indiquée varie.

Installer de GnuPG

Avant tout, GnuPG doit être installé avant que vous puissiez confirmer les signatures.

Pour les utilisateurs de Windows :

Si vous utilisez Windows, téléchargez Gpg4win (site en anglais) et exécutez son programme d’installation.

Afin de confirmer la signature, vous devrez taper quelques commandes dans la ligne de commande de Windows, cmd.exe.

Pour les utilisateurs de macOS :

Si vous utilisez macOS, vous pouvez installer GPGTools.

Afin de confirmer la signature, vous devrez taper quelques commandes dans le terminal (dans « Applications »).

Pour les utilisateurs de GNU/Linux :

Si vous utilisez GNU/Linux, GnuPG se trouve déjà probablement sur votre système, car il est préinstallé sur la plupart des versions de Linux.

Afin de confirmer la signature, vous devrez taper quelques commandes dans une fenêtre de terminal. La façon de le faire peut varier en fonction de votre version.

Obtenir la clé des développeurs de Tor

L’équipe du Navigateur Tor signe les versions du Navigateur Tor. Importez la clé de signature des développeurs du Navigateur Tor (0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290) :

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

Cela devrait vous afficher quelque chose telle que :

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported
gpg : Total number processed : 1
gpg:               imported: 1
      EF6E286DDA85EA2A4BA7DE684E2C6E8793298290
uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

NOTE: Your output may deviate somewhat from the above (eg. expiration dates), however you should see the key correctly imported.

Si vous recevez un message d’erreur, c’est que quelque chose a mal tourné et vous ne pouvez pas poursuivre tant que vous n’avez pas compris pourquoi cela n’a pas fonctionné. Vous pouvez peut-être importer la clé en utilisant la section solution de rechange (using a public key) à la place.

Après avoir importé la clé, vous pouvez l’enregistrer vers un fichier (en l’identifiant par son empreinte ici) :

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Ces résultats de commande dans la clé étant sauvegardés vers un fichier se trouvant dans le chemin ./tor.keyring, c’est-à-dire dans l’actuel répertoire. Si ./tor.keyring n’existe pas après avoir lancé cette commande, quelque chose a mal tourné et vous ne pouvez pas poursuivre tant que vous n’avez pas compris pourquoi cela n’a pas marché.

Confirmer la signature

Pour confirmer la signature du paquet que vous avez téléchargé, vous devez télécharger le fichier de signature « .asc » correspondant, ainsi que le fichier du programme d’installation même, et le confirmer à l’aide d’une commande qui demande à GnuPG de contrôler le fichier que vous avez téléchargé.

Les exemples ci-dessous supposent que vous avez téléchargé ces deux fichiers dans votre dossier « Téléchargements ». Note that these commands use example file names and yours will be different: you will need to replace the example file names with exact names of the files you have downloaded.

For Windows users (change x86_64 to i686 if you have the 32-bit package):

gpgv --keyring .\tor.keyring Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe.asc Downloads\tor-browser-windows-x86_64-portable-13.0.1.exe

Pour les utilisateurs de macOS :

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-macos-13.0.1.dmg.asc ~/Downloads/tor-browser-macos-13.0.1.dmg

For GNU/Linux users (change x86_64 to i686 if you have the 32-bit package):

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz.asc ~/Downloads/tor-browser-linux-x86_64-13.0.1.tar.xz

Le résultat de la commande doit contenir :

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

Si vous obtenez des messages d’erreur contenant "Aucun fichier ou répertoire de ce type", soit quelque chose s’est mal passé lors d’une des étapes précédentes, soit vous avez oublié que ces commandes utilisent des noms de fichiers d’exemple et le vôtre sera un peu différent.

Actualiser la clé PGP

Exécutez la commande suivante pour rafraîchir la clé de signature du navigateur Tor dans votre porte-clés local à partir du serveur de clés. Cela récupérera également les nouvelles sous-clés.

gpg --refresh-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Solution de rechange (utilisation d’une clé publique)

Si vous rencontrez des erreurs que vous ne pouvez pas corriger, n’hésitez pas à télécharger et utiliser cette clé publique à la place. Vous pouvez également utiliser la commande suivante :

curl -s https://openpgpkey.torproject.org/.well-known/openpgpkey/torproject.org/hu/kounek7zrdx745qydx6p59t9mqjpuhdf |gpg --import -

La clé des développeurs du Navigateur Tor est aussi disponible sur keys.openpgp.org et peut être téléchargé depuis https://keys.openpgp.org/vks/v1/by-fingerprint/EF6E286DDA85EA2A4BA7DE684E2C6E8793298290. Si vous utilisez MacOS ou GNU/Linux, la clé peut donc être récupérée en exécutant la commande suivante :

gpg --keyserver keys.openpgp.org --search-keys EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

Vous voudrez peut-être aussi en apprendre davantage sur GnuPG (site en anglais).