Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un consultant remet en cause la sécurité de Tor
Et avertit les utilisateurs que les données qui sortent du réseau peuvent être interceptées

Le , par Olivier Famien

123PARTAGES

2  0 
The Onion Router largement connu sous l’acronyme Tor est un logiciel utilisé pour surfer de façon anonyme sur la toile. Son grand succès lui a permis d’être adopté par un nombre important de personnes. On retrouve parmi ses utilisateurs de simples personnes utilisant ce logiciel pour éviter simplement d’être suivies sur la toile ou encore des personnes entretenant des activités illégales et cherchant à opérer dans l’ombre pour ne pas être appréhendées.

Vu la grande utilisation de ce réseau aussi bien par les personnes lambdas que par les criminels et autres délinquants de tous genres, plusieurs voix ont commencé à faire savoir qu’il ne serait pas aussi fiable pour l’anonymat qu’on le croirait.

Un consultant du nom de Mark Stockley s’est penché à nouveau sur ce point afin de confirmer ou d'infirmer les problèmes décriés. Et c’est avec consternation qu’il s’est rendu compte des failles du client. En effet, lorsque vous envoyez des données sur le web, celles-ci sont chiffrées en traversant les différentes couches jusqu’à atteindre le nœud de sortie où les données sont déchiffrées et envoyées vers un serveur sur la toile. Le fait de ne pas utiliser de protocole SSL ou TLS à la sortie du réseau facilite grandement une exposition des données.

Pour se convaincre de l’existence de failles à ce niveau, Mark rapporte l’expérience menée par un chercheur du nom de Chloé. Cette dernière a créé un site web fictif avec pour thème bitcoin. Elle a téléchargé la liste complète des nœuds et s’est connectée plusieurs fois à ce site par le biais de Tor en utilisant à chaque connexion un mot de passe unique et un de sortie différente.

En principe, s’il n’y a pas eu de compromission des noms d’utilisateurs et mots de passe utilisés à chaque connexion, le nombre de connexions devrait être égal au nombre de connexions effectué par l’utilisateur.

Toutefois, il s’avère que ce n’est pas le cas. Après un mois de tests, le journal donne en plus des connexions effectuées par Chloé, 600 visites de page inexpliquées, 12 échecs de tentatives de connexion et 16 connexions réussies ne provenant pas de Chloé.

Celle-ci précise par ailleurs que les mots de passe n’étaient stockés nulle part. De même, ils étaient trop difficiles à deviner. La conclusion que l’on peut donc tirer est que ces visites de page inexpliquées ainsi que ces 16 connexions réussies ne peuvent avoir d’autres explications que celles de quelqu’un ayant eu accès aux mots de passe en espionnant le trafic sur le site.

La conclusion tirée par le consultant est que « Tor est un bon projet de sécurité et un excellent composant d’une stratégie de défense en profondeur, mais il n’est (malheureusement) pas un manteau d’invisibilité ».

Nous rappelons que ce test n’est pas le premier du genre. En 2007 également, cette même expérience avait été conduite par Dan Egerstad, un Suédois consultant en sécurité informatique, qui avait mis en œuvre cinq nœuds de sortie. En les écoutant, il est parvenu à intercepter des milliers de mails privés, des mots de passe de comptes mails...

Tout comme les points d’accès WiFi, les nœuds de sortie peuvent être utilisés par des tiers pour mener des attaques de type homme du milieu.

Source : Naked Security

Et vous ?

Que pensez-vous de ces conclusions ?

Avec ces informations êtes-vous prêt à renoncer à l’utilisation de Tor ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 30/06/2015 à 19:35
Citation Envoyé par Olivier Famien Voir le message
Un consultant du nom de Mark Stockley s’est penché à nouveau sur ce problème afin de confirmer ou infirmer les problèmes décriés. Et c’est avec consternation qu’il s’est rendu compte des failles du client. En effet, lorsque vous envoyez des données sur le web, celles-ci sont chiffrées en traversant les différentes couches jusqu’à atteindre le nœud de sortie où les données sont déchiffrées et envoyées vers un serveur sur la toile. Le fait de ne pas utiliser de protocole (SSL) ou (TLS) à la sortie du réseau facilite grandement une exposition des données.
Mais c'est quoi cet article de m****. Que vient faire TOR là dedans ?

Déjà d'une :
Citation Envoyé par Olivier Famien Voir le message
Un consultant du nom de Mark Stockley s’est penché à nouveau sur ce problème afin de confirmer ou infirmer les problèmes décriés. Et c’est avec consternation qu’il s’est rendu compte des failles du client. En effet, lorsque vous envoyez des données sur le web, celles-ci sont chiffrées en traversant les différentes couches jusqu’à atteindre le nœud de sortie où les données sont déchiffrées et envoyées vers un serveur sur la toile. Le fait de ne pas utiliser de protocole (SSL) ou (TLS) à la sortie du réseau facilite grandement une exposition des données.
Le pauvre chou de consultant, il a été obligé de faire des tests pour ça, il ne sait donc pas lire une doc. Ce point fait parti du cahier des charges de TOR, il est systématiquement expliqué dans toute documentation, dans tout tutorial, dans tout article parlant du réseau. Mark, la prochaine fois avant d'allumer ton écran chausse une bonne paire de lunette.

Ensuite le problème relevé ici n'est en rien spécifique à TOR, il concerne toute communication sur internet, quelque soit le site, quelque soit le réseau. Quelqu'un qui se positionne entre le client et le serveur peut intercepter tout l'échange qui se fait.
Et ici, si le soit-disant pirate a intercepté les login et mot de passe pour se connecté au serveur, c'est bien parce que ceux-ci ont transiter en clair sur le réseau. C'est pas un problème de TOR, c'est un problème de sécurisation du serveur.
De plus, c'est peut-être même pas les mot de passe qui ont été intercepté mais seulement la session de l'utilisateur qui a été rejouée.

Mais c'est la mode de cracher sur TOR.

PS : TOR améliore l'anonymat de l'utilisateur sur internet, mais ne le garantie pas. TOR ne sécurise en rien le coté serveur. TOR ne sécurise en rien les données qui transitent, il n'a pas été fait pour ça.
Et non l'anonymat absolue sur internet n'existe pas, n'existera jamais, ne pourra jamais exister.
Essayer de vous faire envoyer un courrier (papier) dans votre boite au lettres, ou de recevoir un colis anonymement. Ce n'est pas possible, il y a toujours quelqu'un qui vous connais pour pouvoir vous le remettre au final. Et quelqu'un qui connais ce quelqu'un pour pouvoir lui transmettre à votre attention, etc ....
3  0 
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 30/06/2015 à 9:38
Peu importe qui à développé TOR au départ, vu comment l'outil à été secoué dans tous les sens, cela ne veut pas dire que l'existence d'une porte dérobée est impossible, mais hautement improbable quand même.

Ensuite, pour ce qui est de l'article, hé bien là encore, cela ne me semble pas être une vulnérabilité de TOR, surtout si on parle de Man in the Middle, là c'est clairement pas TOR qui est en cause..., mais plutôt une vulnérabilité des points d'entrée et de sortie.

TOR, c'est pas non plus l'assurance tous risques! Si le point d'entrée est compromis, alors l'usage de TOR devient inutile. TOR ne sécurise que les données transportées entre la porte d'entrée et la porte de sortie.

J'ai pas bien compris le test de Chloe, parce que cela manque de précision, mais un site web, par nature, cela se visite. Etait-il référencé sur google? est-ce qu'il n'y a pas de bots qui tentent des url au hasard? (je ne vois pas bien l'intérêt à première vue, mais ceux qui le font doivent le voir). Est-ce que ce n'est pas le serveur DNS qui à été compromis et qui à livré l'URL? Pour les mots de passes, est-ce que ce n'est pas la machine de test qui est compromise? La liste des questions est plus longue que le bras.

Cela ne veut pas dire qu'il ne faille pas douter de TOR, mais enfin... l'article laisse penser que ce n'est utilisé que pour des activités illégales ET que c'est inefficace. C'est un peu gros comme trait.
1  0 
Avatar de 4sStylZ
Membre éprouvé https://www.developpez.com
Le 30/06/2015 à 10:25
Tor ça doit s'utiliser après un cryptage valable.
Bien sur que balancer des infos en clair sur des nœuds TOR est con, c'est pas franchement une nouveauté.
1  0 
Avatar de siick
Nouveau membre du Club https://www.developpez.com
Le 30/06/2015 à 14:46
Citation Envoyé par siick Voir le message
Y'a-t-il un lien sur son étude car

La première chose serait de savoir si ce site était sur le clearweb ou sur Tor.
Je me réponds donc à moi-même. Tout d'abord le site de l'étude est ici > https://chloe.re/2015/06/20/a-month-...ith-badonions/
Et effectivement, elle utilise bien un site web sur le "clearweb" sans https comme honeypot. Je ne trouve pas que cela atteint la sécurité de TOR lui-même. Déjà il faut un Man-in-th-middle (il n'est pas fourni d'office avec TOR lol), et ensuite il est normal que les données (user et pass) soient récupérées, car ces données transitent en clair (sans https). Du coup même déchiffrées du nœud de sortie, elles restent en clair!
1  0 
Avatar de miky55
Membre averti https://www.developpez.com
Le 02/07/2015 à 21:24
Citation Envoyé par sevyc64 Voir le message
Mais c'est quoi cet article de m****. Que vient faire TOR là dedans ?
Peut être que la news n'est pas clair, mais beaucoup de gens n'ont pas l'air de comprendre ce qu'a voulu révéler cette étude. Ce qui est mis en évidence ce n'est pas qu'il est possible de faire des attaque MITM avec Tor, mais plutôt que certains nœuds de sorties sont des nœuds espions qui interceptent tout le trafic qui y passe en clair à des fins crapuleuses. Le but est de remonter ces nœuds espions à la fondation pour qu'ils soient bannis.
1  0 
Avatar de doublex
Membre confirmé https://www.developpez.com
Le 30/06/2015 à 8:22
Déjà, lorsqu'on sait que cela a été codé par l'US Navy, on devrait comprendre...
0  0 
Avatar de ail5urfer
Membre à l'essai https://www.developpez.com
Le 30/06/2015 à 9:38
TOR = Honeypot ?
0  0 
Avatar de vanskjære
Membre averti https://www.developpez.com
Le 30/06/2015 à 10:04
Il n'y a pas longtemps un article disait que si tu souhaite ne pas attiré l'attention sur tes données n'utilise pas Tor.
Car grosso modo si tu utilise Tor c'est que tu cherche à cacher quelque chose. Ou que tu est partisant de la théorie du complot et persuadé que la CIA cherche à te tuer.

Si tu souhaite caché quelque chose camoufle le et affiche le aux yeux de tous (sécurisation avec TLS/SSL pour ce qui est des échanges informatiques).
Bon ça marche pas avec tout, notamment avec les éléphants et les hippopotames...même avec un costume de chat...
0  0 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 30/06/2015 à 10:50
@4sStylZ
Entièrement d’accord. Tor est un moyen de compliquer le traçage. C’est un moyen de transfert, pas une solution complète de sécurité.
0  0 
Avatar de spyserver
Membre confirmé https://www.developpez.com
Le 30/06/2015 à 11:32
jusqu’à atteindre le nœud de sortie où les données sont déchiffrées et envoyées vers un serveur sur la toile
mais pourquoi les données sont déchiffrées à ce niveau ?! That's the question ! Dans la théorie une connexion chiffrée l'est depuis l'expediteur jusqu'au destinataire je sais pas trop ce qu'a fait ce consultant mais ça m'a pas l'air d'un test réaliste !
0  0