Pour que votre nœud de sortie fonctionne à long terme, vous aurez besoin du soutien des personnes qui vous entourent.
En ce sens, Tor constitue un levier pour vous aider à changer les politiques de votre organisation.
Si l'administration considère qu'une communauté Internet qui aide d'autres personnes est un concept étranger, ou si elle a l'habitude de traiter les nouvelles situations comme des risques pour la sécurité et de dire à tout le monde d'arrêter, un relais Tor peut vous permettre d'orienter la discussion et de trouver des alliés qui veulent aider à changer la politique.
En bref, la gestion d'un nœud de sortie Tor peut vous obliger à devenir un défenseur de l'anonymat et de la vie privée dans le monde.
La meilleure stratégie dépend de votre situation, mais voici quelques conseils pour vous aider à démarrer.
(Nous nous concentrons sur le scénario de l'université, mais nous espérons que vous pourrez l'adapter à votre propre situation)
Tout d'abord, renseignez-vous sur la politique d'utilisation acceptable (AUP) de votre université.
Il s'agit très probablement d'une formulation ambiguë, qui leur permet d'autoriser ou de refuser certaines choses en fonction de la situation.
Mais il peut être extrêmement restrictif ("pas de services de quelque nature que ce soit"), auquel cas vous n'aurez pas la tâche facile.
Deuxièmement, renseignez-vous sur les lois locales relatives à la responsabilité du trafic sortant de votre relais Tor.
Aux États-Unis, il s'agit principalement du DMCA et du CDA, et la bonne nouvelle est que de nombreux avocats pensent que les opérateurs de nœuds de sortie de Tor sont dans le même bateau que les FAI eux-mêmes.
Familiarisez-vous avec la lettre type de l'EFF concernant les notifications DMCA pour Tor, qui est tout à fait claire sur le fait de ne pas mettre la responsabilité sur les fournisseurs de services.
Le CDA est moins clair, car il a été rédigé avant l'apparition de l'Internet moderne, mais l'EFF et l'ACLU sont optimistes.
Bien entendu, vous devez comprendre qu'en l'absence de précédents clairs (et même dans ce cas), il est toujours possible qu'un juge donné n'interprète pas les choses de la manière dont les avocats l'attendent.
Quoi qu'il en soit, l'essentiel est de se familiariser avec les lois, leurs implications et leurs incertitudes.
Troisièmement, apprenez à connaître la conception de Tor.
Lisez la vue d'ensemble de la conception, le document de conception et la FAQ.
Restez sur IRC (irc.oftc.net - #tor-relays) pendant un moment et apprenez-en plus.
Si possible, assistez à une conférence donnée par l'un des développeurs de Tor.
Découvrez les types de personnes et d'organisations qui ont besoin de communications sécurisées sur Internet.
Entraînez-vous à expliquer le Tor, ses avantages et ses conséquences à vos amis et à vos voisins - la FAQ sur les abus peut vous fournir des points de départ utiles.
Quatrièmement, apprenez-en un peu plus sur l'authentification sur Internet.
De nombreux services liés aux bibliothèques utilisent l'adresse IP source pour décider si un abonné est autorisé à voir leur contenu.
Si l'ensemble de l'espace d'adresses IP de l'université est "autorisé" à accéder aux ressources de la bibliothèque, l'université est obligée de maintenir une main de fer sur toutes ses adresses.
Les universités comme Harvard font preuve d'intelligence : leurs étudiants et leurs professeurs disposent de méthodes d'authentification réelles (certificats, noms d'utilisateur et mots de passe) pour accéder à un serveur central de Harvard et aux ressources de la bibliothèque à partir de ce serveur.
Harvard n'a donc pas à se préoccuper des autres services qui fonctionnent sur son réseau, et cela permet également de prendre en charge les étudiants et les professeurs qui ne sont pas sur le campus.
D'autre part, des universités comme Berkeley ajoutent simplement une ligne "pas de proxies" à leur politique de réseau, et sont coincées dans une bataille pour surveiller chaque adresse de leur réseau.
Nous devrions encourager tous ces réseaux à adopter un modèle d'authentification de bout en bout plutôt que de confondre l'emplacement du réseau avec la personne qui se trouve à l'autre bout.
Cinquièmement, commencez à vous trouver des alliés.
Trouvez des professeurs (ou des doyens !) qui aiment l'idée de soutenir et/ou d'étudier l'anonymat sur Internet.
Si votre école dispose d'un groupe de recherche sur les botnets ou étudie les attaques Internet (comme à Georgia Tech et UCSD), rencontrez-les et apprenez-en plus sur toutes les choses effrayantes qui existent déjà sur Internet.
Si vous avez une école de droit à proximité, rencontrez les professeurs qui enseignent les cours de droit de l'Internet et discutez avec eux de Tor et de ses implications.
Demandez conseil à tous ceux que vous rencontrez et qui aiment l'idée, et essayez de remonter la chaîne pour obtenir le plus grand nombre possible de bons alliés dans le plus grand nombre de domaines possible.
Sixièmement, enseignez Tor aux avocats de votre université.
Cela peut sembler risqué, mais il vaut mieux qu'ils entendent parler de Tor de votre bouche, dans un environnement détendu, plutôt que de l'entendre de la bouche d'un inconnu au téléphone.
Rappelez-vous que les avocats n'aiment pas qu'un non-juriste leur dise comment interpréter les lois, mais qu'ils sont souvent heureux d'apprendre que d'autres avocats ont fait une grande partie des recherches et du travail (c'est là que la FAQ juridique de l'EFF entre en jeu, ainsi que les contacts de la faculté de droit, si vous en avez trouvés).
Veillez à ce que ces discussions restent informelles et restreintes - invitez l'un des avocats généraux à prendre un café pour discuter de "quelque chose d'intéressant qui pourrait se présenter plus tard". N'hésitez pas à vous faire accompagner par l'un des alliés que vous avez trouvés plus haut, si cela vous met à l'aise.
Évitez les réunions réelles ou les longues discussions par mail, et indiquez clairement que vous n'avez pas encore besoin de leur avis juridique officiel.
Rappelez-vous que les avocats sont payés pour dire non à moins qu'ils n'aient une raison de dire oui, alors quand le moment est enfin venu de leur demander leur avis sur l'organisation d'un nœud de sortie Tor, assurez-vous que la question n'est pas "y a-t-il des problèmes de responsabilité ?", mais plutôt "nous aimerions faire cela, pouvez-vous nous aider à éviter les problèmes les plus importants ?" Essayez de prédire ce qu'ils diront, et essayez de gagner des alliés parmi les avocats qui aiment votre cause et veulent vous aider.
S'ils ont des préoccupations ou soulèvent des questions auxquelles vous ne savez pas répondre, travaillez avec eux pour trouver les réponses et les rendre heureux.
Le fait de se lier d'amitié avec les avocats dès le début du processus permet d'éviter les situations où ils doivent tout savoir et prendre une décision en un jour.
Septièmement, apprenez à vos responsables de la sécurité du réseau à connaître Tor.
De toute façon, vous ne leur cacherez pas longtemps votre nœud de sortie Tor et, comme pour les avocats, il vaut mieux l'entendre de votre bouche que de celle d'un inconnu.
Évitez de les mettre sur la sellette ou de leur demander formellement la permission : la plupart des responsables de la sécurité des réseaux apprécieront l'idée de Tor en théorie, mais ils ne seront pas en mesure d'"autoriser" votre relais Tor.
Invitez-les à prendre un café pour leur expliquer Tor et faites-leur savoir que vous prévoyez de faire fonctionner un serveur Tor.
Précisez que vous êtes prêt à collaborer avec eux pour que cela ne leur pose pas trop de problèmes ; par exemple, ils peuvent vous transmettre directement les plaintes s'ils le souhaitent.
Ces personnes sont déjà surchargées de travail, et tout ce que vous pouvez faire pour leur éviter du travail rendra tout le monde plus heureux.
Vous pouvez leur faire savoir qu'il existe des moyens de réduire le risque de plaintes pour abus, par exemple en limitant le taux ou en restreignant partiellement votre politique de sortie - mais ne soyez pas trop pressé de proposer ou de prendre ces mesures, car une fois que vous avez cédé du terrain, il est très difficile de le regagner.
Vous voudrez également savoir si votre organisation est soumise à des limitations de bande passante.
(Tor peut gérer une variété d'approches de limitation de taux, ce n'est donc pas la fin du monde).
Dans certains cas, vous devriez parler aux responsables de la sécurité des réseaux avant de parler aux avocats ; dans d'autres cas, il y aura encore d'autres groupes qu'il sera essentiel d'éduquer et de faire participer à la discussion. Vous devrez improviser au fur et à mesure.
Si les autorités contactent votre université pour obtenir des données, soyez aimable et serviable.
Le niveau de journalisation par défaut de Tor ne fournit pas grand chose d'utile, donc s'ils veulent des copies de vos journaux, c'est très bien.
Soyez serviable et profitez de l'occasion pour leur expliquer ce qu'est Tor et pourquoi il est utile au monde. (S'ils vous contactent directement pour obtenir des logs, vous devriez les envoyer aux avocats de votre université -- agir vous-même est presque toujours une mauvaise idée).
Si le nombre de plaintes est trop élevé, vous pouvez prendre plusieurs mesures pour les réduire.
Tout d'abord, vous devez suivre les conseils de la documentation du relais Tor, comme le choix d'un nom d'hôte descriptif ou l'obtention de votre propre adresse IP.
Si cela ne fonctionne pas, vous pouvez réduire la vitesse annoncée de votre relais, en utilisant le paramètre MaxAdvertisedBandwidth
pour attirer moins de trafic du réseau Tor. Enfin, vous pouvez réduire votre politique de sortie.
Certaines personnes ont constaté que leur université ne tolère leur relais Tor que si elles participent à un projet de recherche sur l'anonymat.
Par conséquent, si vous êtes intéressé, vous pouvez commencer à le faire dès le début du processus - voir notre Portail de la recherche.
Cette approche présente l'avantage supplémentaire d'impliquer d'autres enseignants et étudiants dans le processus.
L'inconvénient est que l'existence de votre relais Tor est plus fragile, puisque les conditions de sa disparition sont déjà négociées.
Notez que dans de nombreux cas, vous n'avez même pas besoin de faire des recherches sur le noeud de sortie lui-même -- faire des recherches sur le réseau Tor nécessite qu'il y ait un réseau Tor, après tout, et le maintenir en vie est un effort de la communauté.
Liste de diffusion
Abonnez-vous à la liste de diffusion Universités Tor Relays (et d'autres établissements d'enseignement également).