The Onion Router largement connu sous l’acronyme Tor est un logiciel utilisé pour surfer de façon anonyme sur la toile. Son grand succès lui a permis d’être adopté par un nombre important de personnes. On retrouve parmi ses utilisateurs de simples personnes utilisant ce logiciel pour éviter simplement d’être suivies sur la toile ou encore des personnes entretenant des activités illégales et cherchant à opérer dans l’ombre pour ne pas être appréhendées.
Vu la grande utilisation de ce réseau aussi bien par les personnes lambdas que par les criminels et autres délinquants de tous genres, plusieurs voix ont commencé à faire savoir qu’il ne serait pas aussi fiable pour l’anonymat qu’on le croirait.
Un consultant du nom de Mark Stockley s’est penché à nouveau sur ce point afin de confirmer ou d'infirmer les problèmes décriés. Et c’est avec consternation qu’il s’est rendu compte des failles du client. En effet, lorsque vous envoyez des données sur le web, celles-ci sont chiffrées en traversant les différentes couches jusqu’à atteindre le nœud de sortie où les données sont déchiffrées et envoyées vers un serveur sur la toile. Le fait de ne pas utiliser de protocole SSL ou TLS à la sortie du réseau facilite grandement une exposition des données.
Pour se convaincre de l’existence de failles à ce niveau, Mark rapporte l’expérience menée par un chercheur du nom de Chloé. Cette dernière a créé un site web fictif avec pour thème bitcoin. Elle a téléchargé la liste complète des nœuds et s’est connectée plusieurs fois à ce site par le biais de Tor en utilisant à chaque connexion un mot de passe unique et un de sortie différente.
En principe, s’il n’y a pas eu de compromission des noms d’utilisateurs et mots de passe utilisés à chaque connexion, le nombre de connexions devrait être égal au nombre de connexions effectué par l’utilisateur.
Toutefois, il s’avère que ce n’est pas le cas. Après un mois de tests, le journal donne en plus des connexions effectuées par Chloé, 600 visites de page inexpliquées, 12 échecs de tentatives de connexion et 16 connexions réussies ne provenant pas de Chloé.
Celle-ci précise par ailleurs que les mots de passe n’étaient stockés nulle part. De même, ils étaient trop difficiles à deviner. La conclusion que l’on peut donc tirer est que ces visites de page inexpliquées ainsi que ces 16 connexions réussies ne peuvent avoir d’autres explications que celles de quelqu’un ayant eu accès aux mots de passe en espionnant le trafic sur le site.
La conclusion tirée par le consultant est que « Tor est un bon projet de sécurité et un excellent composant d’une stratégie de défense en profondeur, mais il n’est (malheureusement) pas un manteau d’invisibilité ».
Nous rappelons que ce test n’est pas le premier du genre. En 2007 également, cette même expérience avait été conduite par Dan Egerstad, un Suédois consultant en sécurité informatique, qui avait mis en œuvre cinq nœuds de sortie. En les écoutant, il est parvenu à intercepter des milliers de mails privés, des mots de passe de comptes mails...
Tout comme les points d’accès WiFi, les nœuds de sortie peuvent être utilisés par des tiers pour mener des attaques de type homme du milieu.
Source : Naked Security
Et vous ?
Que pensez-vous de ces conclusions ?
Avec ces informations êtes-vous prêt à renoncer à l’utilisation de Tor ?
Un consultant remet en cause la sécurité de Tor
Et avertit les utilisateurs que les données qui sortent du réseau peuvent être interceptées
Un consultant remet en cause la sécurité de Tor
Et avertit les utilisateurs que les données qui sortent du réseau peuvent être interceptées
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !