Tor 0.2.2.34
Txon
31 oct. 2011
Salut !
Tor 0.2.2.34 corrige une vulnérabilité critique d'anonymat qui permettait à un attaquant de ''desanonimiser » Tor. Tous doivent effectuer la mise à jour.
Les ''clients'' devraient effectuer la mise à jour pour ne plus être reconnaissables à travers le certificat TLS qu'ils présentent. Les ''relais'' également afin de ne plus permettre à un attaquant de les explorer pour tester si des clients équipés d'anciennes versions y sont connectés. Cette version fixe également plusieurs vulnérabilités qui permettent à un attaquant de dénombrer les ''relais de pont'' (bridge relay). Il demeure cependant possible de repérer ces relais.
Les explications concernant les problèmes et les modifications apportées se trouvent dans le blog de Tor → Tor 0.2.2.34 is released (security patches)
errin y note que ces correctifs ne correspondent vraisemblablement pas à l'attaque de Tor que les médias ont récemment rapportée → Tor ''Hacké''.
A ce sujet, l'analyse de phobos (membre de l'équipe de Tor) minimise les propos agressifs d'Eric Filiol → Rumors of Tor's compromise are greatly exaggerated..
D'abord, il n'existe qu'environ 2.500 ordinateurs Tor physiques en fonction et donc pas 5 .827 nœuds et encore plus d'adresses IP de serveurs. Ensuite, si 30 % des machines (essentiellement sous Windows) sont vulnérables, il ne faut pas les confondre avec la capacité totale du réseau. Compromettre 30 % des ordinateurs ne signifie pas affecter 30 % de la capacité du réseau puisque les machines et l’ensemble des clients effectuent un équilibrage de charge (load balancing) à travers les relais. Il existe en outre 600 ''ponts'' (relais). La découverte de 181 d'entre eux ne peut pas permettre l’établissement d’une cartographie complète de Tor.
Il semble d'autre part que les attaques menées par l’équipe de l’ESIEA aient été réalisées en environnement simulé. Le résultat dans des conditions réelles de fonctionnement n'aurait sans doute pas été le même.
L'attitude d'Eric Filiol me semble être celle d'un hacker à chapeau noir qui non seulement cherche à se faire de la publicité mais aussi à ''casser'' Tor pour qu'il ne soit plus utilisé. Pour qui travaille-t-il ? L'Iran, la Syrie, le Yémen, la France sarkoziste ?
Eric Filiol aura du mal à fanfaronner à São Paolo lorsque il fera son show, si quelques membres de l'équipe de Tor s'y trouvent.
@+
Tor 0.2.2.34 corrige une vulnérabilité critique d'anonymat qui permettait à un attaquant de ''desanonimiser » Tor. Tous doivent effectuer la mise à jour.
Les ''clients'' devraient effectuer la mise à jour pour ne plus être reconnaissables à travers le certificat TLS qu'ils présentent. Les ''relais'' également afin de ne plus permettre à un attaquant de les explorer pour tester si des clients équipés d'anciennes versions y sont connectés. Cette version fixe également plusieurs vulnérabilités qui permettent à un attaquant de dénombrer les ''relais de pont'' (bridge relay). Il demeure cependant possible de repérer ces relais.
Les explications concernant les problèmes et les modifications apportées se trouvent dans le blog de Tor → Tor 0.2.2.34 is released (security patches)
errin y note que ces correctifs ne correspondent vraisemblablement pas à l'attaque de Tor que les médias ont récemment rapportée → Tor ''Hacké''.
A ce sujet, l'analyse de phobos (membre de l'équipe de Tor) minimise les propos agressifs d'Eric Filiol → Rumors of Tor's compromise are greatly exaggerated..
D'abord, il n'existe qu'environ 2.500 ordinateurs Tor physiques en fonction et donc pas 5 .827 nœuds et encore plus d'adresses IP de serveurs. Ensuite, si 30 % des machines (essentiellement sous Windows) sont vulnérables, il ne faut pas les confondre avec la capacité totale du réseau. Compromettre 30 % des ordinateurs ne signifie pas affecter 30 % de la capacité du réseau puisque les machines et l’ensemble des clients effectuent un équilibrage de charge (load balancing) à travers les relais. Il existe en outre 600 ''ponts'' (relais). La découverte de 181 d'entre eux ne peut pas permettre l’établissement d’une cartographie complète de Tor.
Il semble d'autre part que les attaques menées par l’équipe de l’ESIEA aient été réalisées en environnement simulé. Le résultat dans des conditions réelles de fonctionnement n'aurait sans doute pas été le même.
L'attitude d'Eric Filiol me semble être celle d'un hacker à chapeau noir qui non seulement cherche à se faire de la publicité mais aussi à ''casser'' Tor pour qu'il ne soit plus utilisé. Pour qui travaille-t-il ? L'Iran, la Syrie, le Yémen, la France sarkoziste ?
Eric Filiol aura du mal à fanfaronner à São Paolo lorsque il fera son show, si quelques membres de l'équipe de Tor s'y trouvent.
@+
lolo32
01 nov. 2011
^Tor est un bon produit! utilisé par de nombreuses entreprises, peu le savent ^^
bien sûr la connexion est ralentie, mais la sécurité des informations transmises est assurée "quoique rien sûr est sur à 100%" mais quand même pas mal!
quand aux personnes qui critiquent je suis sur qu'eux même utilise un vpn pour les connections! " hypocrite dis-tu? ho ho^^
merci à la communauté tor "le seul regret, comme déjà dit, est l'utilisation de tor pour de mauvaise choses!!"
bien sûr la connexion est ralentie, mais la sécurité des informations transmises est assurée "quoique rien sûr est sur à 100%" mais quand même pas mal!
quand aux personnes qui critiquent je suis sur qu'eux même utilise un vpn pour les connections! " hypocrite dis-tu? ho ho^^
merci à la communauté tor "le seul regret, comme déjà dit, est l'utilisation de tor pour de mauvaise choses!!"
Txon
02 nov. 2011
L'intervention d'Eric Filiol me fait penser à celle d'un autre féal de l'état qui, sous un faux prétexte de sécurité a provoqué l'interdiction de Skype dans les universités et les centres de recherche. En fait, c'est tout simplement parce qu'aucun barbouze de l'époque n'arrivait à décrypter les communications via Skype (maintenant que Skype est entre les mains de Microsoft, c'est une toute autre histoire).^Tor est un bon produit! utilisé par de nombreuses entreprises, peu le savent ^^
Pour le mauvais, ce n'est pas tant Tor qu'il faille incriminer que tor2web qui se sert de Tor et semble avoir servi bien plus aux pédophiles.merci à la communauté tor "le seul regret, comme déjà dit, est l'utilisation de tor pour de mauvaise choses!!"
Tchim
05 nov. 2011
Salut,
Merci pour l'info
Il est installé sur mon PC sous Linux, mais j'ai encore des réglages à faire pour les cookies, je tatonne ; les résultats pour les cookies sont meilleurs avec FireFox et les extensions installées (voir içi) voici les résultats que j'obtiens pour le moment, j'ai ajouté les extensions suivantes : Ghostery, RefControl, Cookies Monster...
Ajouté : Il semblerai que c'est le Proxy d'Ixquick qui "fait le boulot" pour les cookies...
Merci pour l'info
Il est installé sur mon PC sous Linux, mais j'ai encore des réglages à faire pour les cookies, je tatonne ; les résultats pour les cookies sont meilleurs avec FireFox et les extensions installées (voir içi) voici les résultats que j'obtiens pour le moment, j'ai ajouté les extensions suivantes : Ghostery, RefControl, Cookies Monster...
Ajouté : Il semblerai que c'est le Proxy d'Ixquick qui "fait le boulot" pour les cookies...
Tchim
20 déc. 2011
C'est vrai que ça laisse un peu perplexeMon avis ? Son attaque contre TOR est sans doute réelle, mais à mon avis loin d'avoir les impacts qu'il annonce. Le gars est surtout là pour faire du buzz sur lui et son projet en attaquant TOR.
D'aucuns me rétorqueront que je n'ai pas le niveau en cryptographie du monsieur. Je ne suis pas un chef étoilé, mais je suis capable de sentir quand un plat a un goût bizarre.
Merci pour le lien
noisette
30 déc. 2011
D'aucuns me rétorqueront que je n'ai pas le niveau en cryptographie du monsieur qui n'a pas le niveau en cryptographie du monsieur. Je ne suis pas un chef étoilé, mais je suis capable de sentir quand un plat a un goût bizarre.
Son article, sans me surprendre (je lis de temps en temps le blog de Sid), laisse tout de même perplexe (et un brun irrité).
Son article, sans me surprendre (je lis de temps en temps le blog de Sid), laisse tout de même perplexe (et un brun irrité).
