]]>
Qu'est-ce qu'un proxy ?
Pour faire simple, un proxy est une application qui va jouer le rôle d'intermédiaire entre un logiciel client (ici votre navigateur WEB) et un serveur (ici, le site WEB visité). Il existe toute sorte de proxy différents permettant de partager une connexion internet ou encore de cacher son identité. Privoxy, lui, est un proxy "filtrant". Son rôle est "simplement" de regarder tous les sites que vous visitez avant vous pour y traquer les publicités et autre spywebs. Pour cela, il dispose de deux stratégies. Soit il va interdire comme AdBlock l'accès à certains sites au navigateur, soit il va modifier, "à la volée" les pages que vous recevez (par exemple pour y modifier des scripts dangereux).
Privoxy est aussi capable de "désanimer" des images GIF, de nettoyer vos cookies pour qu'ils ne laissent pas passer d'information, de maquiller l'identité de votre navigateur. Bref, c'est un outil complet, simple d'utilisation, rapide à installer, prêt à l'emploi et complètement paramétrable pour filtrer encore plus loin.
Installation
L'objectif de ce tutoriel est de mettre en place Privoxy pour tout votre réseau. Il va donc falloir choisir une machine qui sera connue des autres sur laquelle sera installé l'application. Il n'est pas nécessaire que ce soit une machine dédiée. Privoxy prend peu de ressource mémoire et CPU, n'importe quelle machine sous n'importe quel système devrait convenir. Pour la suite j'appellerais cette machine machine_de_gaston. Cependant, vous pouvez aussi utiliser ce proxy sur une machine seule. Auquel cas, vous remplacerez simplement dans ce qui va suivre machine_gaston par localhost.
Quel que soit votre système, toutes les versions binaires pour tous les Systèmes sont téléchargeables ici. L'installation se fait, comme dit plus haut, sur la machine machine_de_gaston.
Installation sous Linux
Il y a fort à parier que Privoxy est déjà intégré dans votre distribution. Sous Mandriva, l'installation se fait par la plus que classique commande :
Une fois qu'URPMI a terminé son travail, il vous suffit de lancer le service :
Installation sous Windows
Pour les Windowsiens, téléchargez le fichier .exe d'installation et exécutez-le. Validez toutes les demandes qui vous sont faites et à la fin de l'assistant, privoxy devrait être installé, lancé et en plus vous avez droit une belle petite console vous indiquant que le proxy est actif. Il ne reste plus qu'à configurer votre navigateur.
Paramétrage du navigateur
L'avantage d'un proxy est qu'il n'existe pas à ma connaissance de navigateur qui ne sache pas l'utiliser. Pour l'exemple nous allons faire ici le paramétrage de FireFox, mais il pourrait tout aussi bien s'agir de Safari, Opéra et même Internet Explorer...
Il faut donc maintenant aller sur la machine cliente pour indiquer à son navigateur d'aller chercher ses pages web sur la machine_de_gaston. Dans FireFox allez dans les menus Edition/Préférence/Réseau/Paramétres. Sélectionnez configuration manuelle du proxy et entrez pour HTTP les valeurs machine_de_gaston et 8118. Cliquer ensuite sur OK et enfin Fermer.
C'est tout ! Pour vérifier que tout fonctionne, saisissez l'adresse http://config.privoxy.org/ et validez. Vous devez voir apparaître la page de configuration de privoxy. Tout est donc opérationnel.
Privoxy à l'oeuvre
Pour se convaincre que tout est en place, il suffit d'aller sur la "machine de gaston" et de regarder les traces. Pour les Windowsiens cela se fait dans la console que vous avez découverte à l'installation, pour les Linuxiens, les logs se trouvent en /var/log/privoxy/logfile.
Sur le poste client, allez faire un tout avec votre navigateur sur le site www.liberation.fr et regardez ce qu'affiche privoxy sur la machine de gaston :
- Request: www.liberation.fr/
- Request: www.liberation.fr/_looks/liberation/scripts/rObj.js
- (...)
- www.smartadserver.com/call/pubj/252/1276/225/M/7424944326/? crunch!
- Request: www.liberation.fr/_looks/liberation/images/fond_pub_728x90.gif
- (...)
- Request: www.smartadserver.com/call/pubj/252/1276/163/S/7424944326/? crunch!
- Request: www.liberation.fr/_looks/liberation/images/onglet_forum_on.gif
- (...)
- Request: cmhtml.fr.overture.com/d/search/p/standard/eu/js/flat/ctxt/ls/?ctxtId=libe_fr_annuaire&NGrp=2&NKw=4&Pg=1&keywordCharEnc=utf-8&outputCharEnc=utf-8&Partner=liberation_js_fr_ctxtls_libe crunch!
- (...)
- www.liberation.fr/interactif/question/libeblogs/_files/file_258326_34465_petite_vignette.jpg
- Request: www.smartadserver.com/call/pubj/252/1276/276/S/7424944326/? crunch!
- (...)
- Request: www.smartadserver.com/call/pubj/252/1276/94/S/7424944326/? crunch!
- Request: www.liberation.fr/interactif/question/libeblogs/_files/file_260788_26585_petite_vignette.jpg
- (...)
- Request: www.google-analytics.com/urchin.js crunch!
- (...)
- Request: logi8.xiti.com/hit.xiti?s=197813&s2=2&p=homepage&hl=8x59x22&lng=fr&r=1280x886x32x32&re=1280x746&ref= crunch!
A chaque fois que privoxy affiche crunch, il a bloquer le navigateur. Nous voyons ainsi qu'en standard, privoxy bloque efficacement les publicités, Google Analytics et Xiti. Cela fait déjà beaucoup de nuisance en moins. Mais nous allons pouvoir aller un peu plus loin.
Améliorer le filtrage
Les fichiers à modifier
Comme vous l'avez vu, Privoxy par défaut marche déjà très bien. Il est cependant possible de pousser encore et de l'adapter parfaitement à vos besoins. Pour changer les paramètres de Privoxy, vous avez deux solutions. Soit vous utilisez l'interface WEB (personnellement je ne la trouve pas très simple), Soit vous éditez directement les fichiers de configuration. Pour les Windowsiens, il suffit d'aller dans la console de Privoxy dans les menus Options/Edit User Actions. Pour les autres, il faut simplement éditer le fichier /etc/privoxy/user.actions. Notez que le simple fait de sauver le fichier reconfigure Privoxy. Pas besoin de donc de redémarrer.
Le fichier user.actions contient les règles que vous avez le "droit" de changer. Vous pouvez changer aussi les autres mais cela risque de vous créer plus de problèmes qu'autre chose. Par défaut il contient déjà plein d'exemple utiles.
Vous allez pouvoir ajouter ici, des règles et des Aliases. Une règle est la combinaison d'une ou plusieurs Actions à une ou plusieurs URL auxquelles ces actions s'appliquent. Pour la liste complète des actions que Privoxy propose, allez jeter un oeil ici.
Ajout de nouvelles règles
Prenons un exemple et imagions que nous voulions supprimer l'envoi de tous les cookies pour le site wwww.mauvais-site.fr. Ce besoin traduit donnerait :
- { +crunch-outgoing-cookies }
- .mauvais-site.fr
Cette règle très simple va ajouter l'action "crunch-outgoing-cookies" (qui supprime les envois de cookies) à toutes les urls appartenant à .mauvais-site.fr. Le signe + indique que la directive doit être ajoutée. En effet, les règles s'additionnent. Par exemple si plus loin de le fichier user.action j'écris :
- { -crunch-outgoing-cookies }
- bonne-page.mauvais-site.fr
Toutes les pages du domaine mauvais-site.fr auront leur cookie mangé sauf bonne-page.mauvais-site.fr.
Vous pouvez des * dans les URL, par exemple ad*.site-de-pube.fr, ou même une expression régulière comme pour adBlock comme www[1-9a-ez].example.c*.
Vous pouvez aussi mettre plusieurs actions entre les accolades, soit sur une seule ligne en les séparant par des espaces, soit sur plusieurs lignes en ajoutant un \ à la fin de chaque ligne. Cela nous donne par exemple :
- { +crunch-outgoing-cookies \
- +crunch-incoming-cookies }
- ad*.mauvais-site.fr
- www[1-9a-ez].example.c*
Ajout d'Alias
Comme nous l'avons vu, il est possible de mettre plusieurs actions entre accolade. Il peut être alors pratique de pouvoir regrouper un ensemble d'actions sous un seul alias. Par exemple, si nous voulons regrouper la suppression de tous les cookies, nous ajouterions dans le fichier user.actions :
- {{alias}}
- +crunch-all-cookies = +crunch-incoming-cookies +crunch-outgoing-cookies
- -crunch-all-cookies = -crunch-incoming-cookies -crunch-outgoing-cookies
Une règle pour ajouter, une autre pour enlever, je pense que l'exemple parle de lui-même. Ainsi la règle du chapitre précédent pourrait s'écrire :
- { +crunch-all-cookies }
- ad*.mauvais-site.fr
- www[1-9a-ez].example.c*
- { shop }
- www.boutique-branlante.fr
- { fragile }
- www.site-mal-fichu.fr
Ajout de règles supplémentaires
Avec ces informations, il est possible donc d'améliorer encore privoxy pour ne plus rien laisser passer ou presque. Au début, comme moi, vous allez observer ce que les sites font exactement avec votre ligne en regardant les logs de Privoxy. C'est très instructif. Et à chaque fois que vous voyez quelque chose de louche, vous pouvez ajouter une règle comportant l'action { +block } suivi à la ligne suivante de chaque url posant problèmes. Voici ma liste que vous pouvez adapter à vos besoins :
- {{alias}}
- big-block = +block +handle-as-empty-document
- # Régies publicitaires/ Plateformes d'annonce
- { big-block }
- .netavenir.com # http://www.netavenir.com/
- .turn.com # http://www.turn.com/corp/how/how-it-works.jsp
- .bluestreak.com # http://www.bluestreak.com/whowhat/index.asp
- .criteo.com # http://www.criteo.com/en/bloggers.aspx
- .blogbang.com/demo/js/blogbang_ad.php\?id= # http://www.blogbang.com/demo/
- /.*\/microsoft_adcenterconversion\.js # Régie Microsoft
- *.*.marketingsolutions.yahoo.com/* # Régie Yahoo
- www.googleadservices.com/* # Régie Google
- .fmpub.net # http://federatedmedia.net/whyadvertise/index
- pubsrv.allopass.com/* # http://www.allopass.com/
- .comclick.com # http://www.comclick.com/
- .regieci.com # http://www.regieci.com/fr/accueil/index.asp
- .allo-audience.fr # http://www.allo-audience.fr/
- .audientia.net # http://www.audientia.net/new/fr/new/
- .clickintext.com # http://www.clickintext.com/
- .clickintext.net
- .intellitxt.com
- # Les enregistreurs/relecteurs
- { big-block }
- .clicktale.* # http://www.clicktale.com/faq.html
- cetrk.com/* # http://crazyegg.com/overview
- *.robotreplay.com/* # http://www.robotreplay.com/
- /.*/clickheat.js
- # médiamêtrie/traçage
- { big-block }
- .estat.com # http://www.estat.com/service/services_form.html
- .sitemeter.com # http://www.sitemeter.com/
- .w3counter.com # http://www.w3counter.com/
- .reinvigorate.net # http://report.reinvigorate.net/snoop
- /.*\/webanalytics # http://france.webanalytics.be/
- .opentracker.net # http://www.opentracker.net/index.jsp
- .weborama.* # http://weborama.com/
- .quantserve.com # http://www.quantcast.com/
- .performancing.com # http://performancing.com/tracker
- .ToutLeMondeEnBlogue.com # http://www.toutlemondeenblogue.com/index.aspx
- stats.wordpress.com # http://www.wordpress.com
- *.technorati.com/* # http://www.technorati.com
- embed.technorati.com/linkcount #
- /.*xiti.js # http://www.xiti.com/
- *.getclicky.com/* # http://www.getclicky.com/help/
- *.iminr.com/* # http://www.iminr.com/
- .netprofitblueprint.com/* # http://www.netprofitblueprint.com/capture.html (assez opaque celui-la...)
- .converdge.com # http://www.converdge.com/features
- .cybermonitor.com
- my.blogitexpress.com/.*\.js # http://www.blogitexpress.com/
- www.atoomic.com/js/* # http://www.atoomic.com/
- .clustrmaps.com/counter/*
- /phpmyvisites.js
- .trackalyzer.com
- # Page ranking
- www.free-pagerank.com/fcgi-bin/alive_js.fcgi.*
- external.wikio.fr/blogs/top/getrank
- www.pagerank.fr/pagerank-actuel.gif
- # Loggers un peu trop traçeurs
- { big-block }
- .mybloglog.com # http://www.mybloglog.com/
- #*.paperblog.fr/* # http://www.paperblog.fr/pages/presentation/
- # Outils non centralisé
- /.*\/phpmyvisites\.js # http://www.phpmyvisites.net/
- # traçage des flux (feeds)
- { big-block }
- feedjit.com/* # http://feedjit.com/
- # Spécial Google
- { big-block }
- /.*utm.js # variante d'urchin
- /.*\/urchin.js # variante d'urchin
- /.*s_code.js # variate d'urchin
- /.*google-analyticator.* # le plugin pour wordpress
- # Nuisances
- { big-block }
- .snap.com/* # Charge les liens en tâche de fond pour en faire
- # des vignettes. Sympa en soit mais pompe pas mal de resources.
- .ixnp.com/*
- .twitter.com/*
- .webreseau.com # http://www.webreseau.com/fr/fonctionnement.asp
- *.devfr.net/* # Pas identifié, si quelqu'un a une idée...
- badge.facebook.com/badge/*
- .blogbar.org
Le dernier bloc de cette liste ne sont pas des spywebs mais des fonctions qui me fatiguent car elles ralentissent l'affichage des pages. Donc si vous n'en voullez pas, libre à vous 
Enfin, pour peaufiner encore votre couverture, vous pouvez ajouter deux règles biens pratiques. La première consiste à empêcher les sites de savoir d'où vous venez en lui faisant croire que vous venez toujours de chez eux (referrer). L'URL utilisé est ici le / ce qui veut dire "pour tous les sites".
- { +hide-referrer{forge} }
- /
Et puis, pour s'amuser un peu nous pouvons aussi maquiller l'identité de notre navigateur. Là, je vais faire croire que le navigateur que j'utilise est un FireFox 7.1 tournant sur un vénérable
Oric Atmos
- { +hide-user-agent{Mozilla/5.0 (TV; U; Oric Atmos 6502c; en-US; rv:r91.6) Gecko/19870508 TranDOS Firefox/7.1} }
- /
Quelques mots sur l'interface WEB
Même s'il n'est pas bien pratique pour éditer la configuration, l'interface WEB est en revanche très efficace pour contrôler le proxy. Si vous tapez l'URL http://config.privoxy.org/. Vous avez la possibilité d'activer ou de désactiver le proxy (http://config.privoxy.org/toggle), de demander à privoxy d'afficher les règles qu'il aurait appliqué à une URL que vous saisissez à la main (http://config.privoxy.org/show-url-info) et enfin de visualiser et modifier la configuration ( http://config.privoxy.org/show-status ).
Cette dernière option offre cependant possibilité un peu cachée qui est de règler le niveau de sévérité du proxy. En effet, si sur la ligne default.action vous clickez sur Edit.Vous allez voir apparaître trois niveaux : Cautious (précautionneux), Medium et Advanced. Le premier offre un niveau de sécurité correcte mais laisse par exemple plus passer les cookies. C'est le mode par défaut qui ne "casse" aucun site marchand. Le dernier est un blockage quasi complet mais qui vous demande souvent d'ajouter un site marchand dans la section { shop } (cf plus haut). A chacun de voir en fonction de sa paranoïa, moi je suis sur Advanced 
Passer Privoxy en Proxy transparent
Un Proxy transparent est un concept ultra-pratique permettant de ne pas configurer les machines clientes. Comment cela se passe ? Simplement en déclarant sur les machines clients que la passerelle internet n'est plus votre routeur, mais la machine_de_gaston. Ainsi, tout le traffic internet va être redirigé sur gaston qui va lui le rediriger sur internet. A partir de là, il est facile de créer une redirection spécifique du port 80 vers privoxy. Ainsi, sans que cela ne soit visible, toutes les machines du réseau utilisent de manière transparente privoxy.
Préparation de la machine serveur
Privoxy ne peut pas agir directement en proxy transparent, il faut pour réaliser ce petit miracle, installer un micro proxy appelé transproxy. Son seul rôle sera de recevoir le traffic Web et de le rediriger vers provoxy. S'il n'est pas disponible sur votre distribution (c'est le cas pour Mandriva), vous n'avez plus qu'à la compiler. Cela se fait sans problème par la grâce de trinité ./configure ; make ; make install. Cecit fait, tapez tproxy --help pour vérifier qu'il est bien en place.
Ceci fait, iul ne reste plus qu'à mettre en place un petit script qui va créer le routage. Il faut que iptables soit installé sur la machine de gaston. Si c'est le cas, créez un script de lancement en /etc/init.d/tproxy :
- #!/bin/bash
- #
- # tproxy This shell script takes care of starting and stopping tproxy.
- #
- # chkconfig: 345 55 45
- # description: tproxy
- # probe: false
- # Comments to support LSB init script conventions
- ### BEGIN INIT INFO
- # Provides: tproxy $tproxy
- # Required-Start: $network privoxy
- # Requires-Stop: $network privoxy
- # Default-Start: 3 4 5
- # Default-Stop: 0 1 6
- # Short-Description: TProxy start script
- # Description: TProxy start script
- ### END INIT INFO
- # Source function library.
- . /etc/rc.d/init.d/functions
- # Source networking configuration.
- [ -r /etc/sysconfig/network ] && . /etc/sysconfig/network
- RETVAL=0
- prog="tproxy"
- # Check that networking is up.
- [ "${NETWORKING}" = "no" ] && exit 0
- pause()
- {
- iptables -t nat -F
- }
- resume()
- {
- # /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -d A.B.C.D
- /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 81
- }
- start() {
- # Start daemons.
- if [ -n "`/sbin/pidof tproxy`" ]; then
- gprintf "$prog: already running"
- echo
- return 1
- fi
- gprintf "Starting %s: " $prog
- resume
- echo 1 > /proc/sys/net/ipv4/ip_forward
- daemon /usr/bin/tproxy -s 81 -r nobody -l /var/log/tproxy.log $HOSTNAME 8118
- RETVAL=$?
- [ $RETVAL -eq 0 ] && touch /var/lock/subsys/tproxy
- echo
- return $RETVAL
- }
- stop() {
- # Stop daemons.
- pause
- echo 0 > /proc/sys/net/ipv4/ip_forward
- gprintf "Stopping %s: " $prog
- rm -f /var/lock/subsys/tproxy || {
- killproc tproxy
- RETVAL=$?
- [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/tproxy
- echo
- return $RETVAL
- }
- success
- echo
- return $RETVAL
- }
- restart() {
- stop
- # wait a couple of seconds for the tproxy to finish closing down
- sleep 2
- start
- }
- # See how we were called.
- case "$1" in
- resume)
- resume
- ;;
- pause)
- pause
- ;;
- start)
- start
- ;;
- stop)
- stop "$2"
- ;;
- status)
- status
- ;;
- restart)
- restart
- ;;
- *)
- gprintf "Usage: %s {start|stop|restart}\n" $0
- exit 1
- esac
Configuration des clients
Notre serveur transparent étant en place, il ne nous reste plus qu'à indiquer aux machines clients que la nouvelle GateWay est la machine_de_gaston. Cela peut se faire en configurant votre routeur, en dur sur les machines ou via votre serveur dhcp. Et lorsque c'est réalisé et que les machines clients ont renouvellées leur IP, vous pouvez vérifier que tout fonctionne et naviguant sur l'une d'entre elles tout en observant les logs sur la machine de gaston.
Conclusion
Ce tutorial ne couvre pas toutes les possibilités de privoxy, loin de là. C'est une mise en jambe pour un outil qui est pour moi aujourd'hui totalement indispensable (merci Malic . Un des aspect avancé très intéressant de Provoxy est sa capacité à ré-écrire des morceaux de pages. Cette fonction permet par exemple de contourner certains sites qui s'amusent à bloquer firefox. Mais déjà en l'état, Privoxy est un très bon outil d'étude et de protection qui, je l'espère, vous servira autant qu'à moi.