Vous connaissez tous mon attachement au logiciel → Tor. Il n'est pas pour rien dans le surnom de ''AïoligaTor'' que m'a donné noisette,
« Le but de Tor est de se protéger de l'analyse de trafic, une forme de surveillance des réseaux qui menace l'anonymat et la confidentialité des personnes, les activités et les rapports confidentiels commerciaux. Avec Tor, les communications rebondissent à travers un réseau de serveurs distribués (Nœuds), appelés onion routers, qui vous protègent contre les sites web qui enregistrent les pages que vous visitez, contre les observateurs externes, et contre les onion routers eux-mêmes.
The Onion Router (Tor) (littéralement : le routage en oignon) : c'est à dire en couche comme les oignons.
Tor réduit les risques d'analyses de trafic simples ou sophistiquées, en répartissant vos transactions entre plusieurs endroits de l'Internet. On ne peut donc pas, en observant un seul point, vous associer à votre destinataire. C'est comme utiliser un chemin tortueux et difficile à suivre pour semer un poursuivant (tout en effaçant de temps en temps ses traces). Au lieu d'emprunter un itinéraire direct entre la source et la destination, les paquets de données suivent une trajectoire aléatoire à travers plusieurs serveurs qui font disparaître vos traces. Personne ne peut donc déduire de l'observation d'un point unique, ni d'où viennent, ni où vont les données. »
Il se trouve que l'équipe ESIEA d'Eric Filiol dont il était très récemment question dans → Cyberguerre, le retard français a réussi à en montrer la vulnérabilité.
L'ESIEA estime que la moitié des serveurs tourne sous Windows (je pensais au contraire qu'une grande majorité fonctionnait sous Linux). Beaucoup d'entre eux sont potentiellement vulnérables. D'autre part, des français feraient partie des principaux contributeurs de Tor après des ressortissants des USA et de plusieurs pays européens.« Il existe des noeuds cachés non répertoriés dans le code source. Seule la fondation TOR connaît ces routeurs cachés. On a développé un algorithme compliqué pour les identifier. On en a écrit une librairie (181 TOR bridges découverts à ce jour). C’est une base non publique mais il est illusoire de penser que ce niveau de sécurité n’est pas accessible (…) Le code source sera mis à disposition mi-novembre. »
En attendant plus de révélations, un article intéressant concernant ce sujet → Sécurité IT : la confiance dans le réseau d’anonymisation TOR est ébranlée ← a été publié par Philippe Guerrier. Eric Filiol de son côté pourrait en dire plus au cours de la conférence → Hackers to hackers de São Paolo dans une présentation intitulée ''How to take over the TOR network operationally''.
Il se peut que toutes les normes de sécurité n'aient pas été observées malgré les mises en garde à tous les niveaux du fonctionnement de Tor. Certaines sont connues depuis longtemps, à commencer au niveau des utilisateurs ...
« L'anonymat n'est pas synonyme de sécurité, en effet votre adresse IP est masquée et les données transitant entre les relais sont chiffrées, mais les données transitant entre le dernier relais et leur destination finale circulent en clair, lorsque vous consultez votre compte en banque ou effectuez des achats en ligne, Tor ne suffit donc pas : il faut utiliser HTTPS ou un chiffrement final similaire et des mécanismes d'authentification. Pour plus de précisions, consultez http://www.xmcopartn...rticle-tor.html »
« La cryptographie implantée dans TOR est mauvaise »
Cette fois, c'est donc grave. Il nous reste à espérer …
- qu'Eric Filiol et ses acolytes ne divulgueront pas le détail de leurs découvertes aux autorités, même (et surtout pas) françaises,
- que cette alerte serve aux développeurs pour rendre Tor encore plus opaque, c'est à dire à renforcer sa cryptographie.
En attendant une version renforcée de Tor, c'est une très mauvaise nouvelle pour la communauté, les dissidents et les journalistes du monde entier. L'Iran, la Syrie, la Chine et tous les pays totalitaires (bientôt la France ?) souhaitent en finir avec Tor.
Quelques articles et tutoriels sur Tor …
→ Tor : réseau anonyme (Ubuntu)
→ Configuring a Tor Relay (site officiel)
→ Mettre en place un relais Tor (Floss – ''Les risque liés à l'hébergement d'un relais Tor'')
→ Tips for running an Exit Node whith minimal harassement (mikeperry – blog TorProject)
→ Retour sur le Hack Of The Year : TOR, votre meilleur ennemi (Adrien Guinault)
→ L'Iran a réussi à bloquer Tor provisoirement (Guillaume Champeau - Numerama)
Il en existe des centaines d'autres dans beaucoup de langues. Certains sont très instructifs.
@+
P.S … Bien que la France dispose de spécialistes en cryptologie, continuez à crypter vos données ''sensibles''. Rappelez-vous qu'il existe des logiciels ''libres'' comme → TrueCrypt ← qui continueront à faire transpirer les fouineurs.