Comment anonymiser Searx. Partie 1: Anonsurf et Whonix

searx_kali_parrotsec_tor_whonix_logo

Dans l’article précédent, nous avons parlé de quelques moteurs de recherche, en mettant l’accent à la fin sur Searx, avec qui nous allons jouer de différentes manières. Rentrons directement dans le vif du sujet.

Ne pouvant pas énumérer toutes les possibilités d’utilisation de Searx via Tor, on peut imaginer plein de scénarios différents, nous en verrons 4 au total, qui pour certains peuvent contenir plusieurs variantes.

En écrivant l’article, je me suis aperçu qu’il devenait déjà assez long. Nous allons aujourd’hui en voir 3, relativement faciles, Je traiterai la méthode la plus difficile la prochaine fois.

Remarque : Afin de gagner en lisibilité et en longueur d’article, je vais contrairement à d’habitude regrouper les différentes actions à effectuer et mettre les screenshots en entier, afin aussi que vous puissiez voir de manière plus globale le déroulement des étapes. Si quelque chose vous parait flou, vous pourrez toujours poser des questions, ici, sur Twitter ou sur Mastodon.

Méthode 1

Les instances qui passent par Tor :

Si nous n’avez pas envie de passer du temps à mettre en place tout un système d’anonymisation, il existe des instances de Searx qui passent déjà par Tor. Soit en faisant office de proxy (Comme la plupart des instances, sauf que là c’est « Torrifié »), soit via un service caché. Gibberfish vous laisse le choix et propose ces 2 solutions.

Pour passer via un proxy, vous pouvez vous rendre, à partir de votre navigateur habituel, à l’adresse suivante :

search.gibberfish.org/tor

 

Concentrons maintenant sur la seconde. Pour y accéder, vous devez avoir installé au préalable Tor Browser.

Ceci étant fait, vous pouvez maintenant vous rendre à cette adresse :

o2jdk5mdsijm2b7l.onion (Ne fonctionne pas sur un navigateur standard)

searx_gibberfish

Remarque : Les URL du mal nommé « dark web » peuvent changer régulièrement, pour diverses raisons. Si vous lisez ces lignes longtemps après sa parution, il est possible que le lien ci-dessus ne soit plus valide. Vous devrez alors chercher la nouvelle adresse sur cette page pour y accéder.

Petite paranthèse : il existe un domaine équivalent pour DuckDuckGo qui propose une version  en .onion de son moteur de recherche. Même si le dernier article mettait en avant un choix d’hébergement « discutable » de leur part, cette méthode pourra peut-être vous convenir afin de profiter des diverses fonctionnalités qu’ils proposent. J’en profite pour préciser une nouvelle fois qu’il n’y a pas une seule et unique vérité universelle qui doit s’appliquer à 7 milliards d’êtres humains. Je mets juste des choses en avant, ensuite libre à vous de les suivre, de les optimiser, et d’y appliquer vos propres variantes.

 

Cette méthode à l’avantage de pouvoir s’exécuter en quelques secondes à partir de votre OS habituel. Il faut garder en tête que le réseau Tor n’est pas sans faille (Rien ne l’est en informatique) et espérer que les sysadmins de Gibberfish ont bien sécurisé les instances. Mais le degré de sécurité est déjà relativement élevé pour une utilisation quotidienne. Maintenant, si vous avez besoin de faire des recherches plus sensibles ou à la limite de la légalité, nous devons pousser le concept un peu plus loin.

Méthode 2

OS GNU/Linux + Anonsurf :

Maintenant, si vous voulez utiliser Searx installé en local, il existe une possibilité quasiment accessible à tous (Tout dépend de votre OS) pour anonymiser vos requêtes. Il a été dit la dernière fois, dans l’édit de l’article, dans les commentaires, et sur Mastodon, qu’utiliser Searx en local et sans aucune précaution revient à requêter directement sur plusieurs moteurs de recherche à la fois. C’est pour cette raison que nous allons anonymiser la totalité des connexions de notre machine en passant par un outil développé par ParrotSec qui s’appelle Anonsurf (Un mode anonyme qui force les connexions à travers Tor et/ou I2P).

Installation de Searx en local

Pour installer Searx en local, nous allons prendre l’exemple ici avec une VM de ParrotSec (Les étapes seront similaires sur les autres OS GNU/Linux).

Sur ce premier screenshot, on va dans le dossier opt qui se trouve à la racine (Avec la commande « cd /opt« ), on passe en root avec « su« , on clone Searx avec « git clone <URL>« , et on se rend à l’intérieur du dossier cloné, en tapant la commande « cd searx« . Une fois toutes ces étapes effectuées, nous pouvons lancer le script manage.sh avec l’option « update_packages« .
parrot_searx_local1

Ceci étant fait, on se rend dans le second dossier « searx« , qui se trouve à l’intérieur de celui dans lequel vous êtes déjà, pour y éditer le fichier « settings.yml« .
parrot_searx_local2

Il vous faut ensuite repérer la ligne où se trouve « secret_key« , comme ici :
parrot_searx_local3bis

Vous pouvez maintenant modifier la clé secrète par défaut, comme par exemple ceci :
parrot_searx_local4bis

Il ne vous reste plus qu’à exécuter Searx.
parrot_searx_local5

Précision :

Pour certaines distrib, vous devrez gérer les dépendances Python requises pour le bon fonctionnement de Searx. Lors du lancement, si une des dépendances est manquante, il sufft de lire le nom du module affiché et de l’installer. Voici un exemple ici sur Kali Linux :
kali_searx_dependencies_bis

Sous openSUSE, pour vous donner une idée (Mais c’est à peu près la même pour Kali et Fedora), j’ai eu à installer les modules ProxyFix, Wekzeug, Flask, Flask Babel, et DateUtil.

Searx via Anonsurf sous ParrotSec

Quand j’utilise cette méthode, via Anonsurf, c’est rarement mon OS principal mais souvent dans une des VM qui me servent pour faire du pentesting. Si vous utilisez ParrotSec pour ce genre de tâche, vous avez juste à lancer Anonsurf comme ceci :

Cliquez sur « Anonsurf Start » :parrotsec_anonsurf1

Patientez le temps du lancement :parrotsec_anonsurf2

Maintenant, « vous êtes dans un tunnel Anonsurf » parrotsec_anonsurf3

Vous pouvez vérifier que vous êtes bien anonyme en regardant l’adresse IP publique indiquée sur la page d’accueil de Firefox (Affichée par défaut sous ParrotOS) :parrotsec_firefox_homepage_tor

Vous pouvez maintenant lancer votre instance locale de Searx en tapant « localhost:8888 »:parrotsec_searx_homepage_tor

Faisons un test en tapant la recherche « ip« , qui vous permettra de voir si tout fonctionne bien en plus de nous confirmer que nous sommes bien détecté en local :
parrotsec_searx_homepage_tor_test1

Comme vous pouvez le voir en haut à droite, Google fait la gueule. Bah ouais, « c’est quoi ce mec qui ne veut pas me filer de data, bordel ! ». La méthode la plus simple pour contourner ceci, c’est d’aller dans  préférences, et Engines, pour après désactiver Google et activer Startpage et Ixquick en guise de remplacement. Les résultats seront globalement similaires à ceux de Google, puisqu’ils piochent leurs résultats à Mountain View tout en servant de proxy.

Désactivez Google :
parrotsec_searx_homepage_tor_param1

Activez Startpage et Ixquick :parrotsec_searx_homepage_tor_param2

Enfin, sauvegardez les réglages :parrotsec_searx_homepage_tor_param3 

Refaisons un test :
parrotsec_searx_homepage_tor_test2

Voilà, maintenant tout est OK. Vous pouvez effectuer vos recherches anonymement, ça a pris moins de 5 minutes.

Anonsurf sous Kali Linux et autres Debian-based:

Si vous utilisez une autre distrib que ParrotSec basée sur Debian (Une des variantes de Debian, Ubuntu, Linux Mint ou comme dans l’exemple ci-dessous Kali Linux), vous avez la possibilité d’installer une version d’Anonsurf optimisée pour Kali (À ma connaissance, ça fonctionnait aussi sous Debian et Ubuntu. Jamais testé sous Mint). Pour ce faire, vous devez cloner où vous voulez le repo à partir de la page Github du projet (Commande « git clone <URL>« ), l’installer (En lançant le script installer.sh), et l’exécuter (Avec la commande « anonsurf start« ) comme vous pouvez le voir ci-dessous :

anonsurf_kali1
anonsurf_kali2

anonsurf_kali3

Une fois Anonsurf lancé, le principe est le même que la méthode vue ci-dessus pour ParrotSec.

 

Méthode 3

Anonymisation sous Kali Linux + Whonix Gateway

Avec cette dernière méthode, nous allons combinier un OS GNU/Linux (Ici ce sera Kali, mais ça fonctionnera aussi avec d’autres distrib) et Whonix.

Pour résumer en quelques mots, Whonix est un OS divisé en 2 machines virtuelles. La Gateway, qui gère la partie réseau connectée via Tor, et la Workstation qui héberge les applications avec lesquelles vous allez interagir (Navigateur, emails, Bitcoins, etc…). Le but ici sera de remplacer la VM Whonix Workstation par Kali Linux, et nous allons partir du principe que vous l’avez déjà installé, ainsi que Searx, comme vu un peu plus haut.

Si cette partie vous parait confuse, vous avez à disposition quelques vidéos sur Hooktube pour voir une installation en live.

Tout d’abord, après avoir téléchargé Whonix Gateway pour VirtualBox, il faut l’importer dedans, dans VirtualBox, avec « Import Appliance« , et ajouter le fichier .ova de Whonix Gateway.
kali_whonix1bis

kali_whonix2bis

kali_whonix3

Quand Whonix Gateway est lancé, double-cliquez sur « Reload Tor » et repérez dans la terminal l’adresse IP affichée, qui servira de passerelle à Kali.
kali_whonix4bis

kali_whonix5bis

Vous pouvez maintenant éditer la section Network de la VM de Kali comme ceci :
kali_whonix6

Une fois ces réglages terminés, vous pouvez lancer la VM de Kali, ouvrir un terminal, et modifier les fichiers /etc/network/interfaces et /etc/resolv.conf comme sur les screenshots ci-dessous. C’est ici que nous allons nous servir de la passerelle vue juste avant, et choisir l’adresse IP utilisée par Kali (Celle qui finit par .11) ainsi que le masque de sous-réseau 255.255.192.0 .
kali_whonix7
kali_whonix8
kali_whonix9
kali_whonix10

Un « ifup eth0 » pour activer le tout (Ici c’est eth0, mais adaptez si votre interface est nommée différemment).
kali_whonix11

Et un « ifconfig » pour vérifier que les paramètres sont bien pris en compte.
kali_whonix12

Pour s’assurer que nous passons bien par Tor, vous pouvez ouvrir votre navigateur et vous rendre sur whatismyipaddress.com.
kali_whonix13

Comme dans cette partie nous sommes partis du principe que Kali et Searx étaient installés, il ne vous reste plus qu’à exécuter ce dernier.

 

Conclusion

Avec ces quelques exemples d’utilisation de Searx, vous pourrez varier les types d’installation en fonction de vos goûts et de vos besoins. Pour les personnes qui veulent juste utiliser Searx anonymement, vous avez déjà tout ici. Pour les plus curieux d’entre vous, il restera une dernière partie à voir, qui sera un peu plus velue.

Testez, explorez, améliorez, et re-testez encore. Ces méthodes ne sont que quelques possibilités parmi beaucoup d’autres.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *