L'anonymat du réseau Tor ébranlé par des chercheurs français

Julien L. - publié le Samedi 15 Octobre 2011 à 15h39 - posté dans High-Tech

L'oignon Tor vient-il d'être pelé par des chercheurs français ? Une équipe dirigée par l'informaticien Eric Filiol affirme avoir mis au point une méthode qui a permis d'identifier l'ensemble des nœuds du réseau, afin de procéder au déchiffrement des communications, à l'infection et à la manipulation du trafic.

Le réseau Tor est-il plus vulnérable qu'on ne le croit ? Né au début des années 2000, le projet Tor a eu pour ambition de fournir aux journalistes et aux dissidents du monde entier un niveau de protection sur Internet suffisamment haut afin de leur permettre de s'exprimer librement, en contournant le filtrage et la censure et sans craindre d'éventuelles représailles orchestrées par les régimes autoritaires.

Pour cela, le réseau Tor propose un "routage en oignon" qui offre un accès en ligne chiffré et anonyme. Les communications établies via ce réseau sont relayées par de multiples rebonds, les nœuds, de façon à empêcher l'identification de l'adresse IP utilisée à l'origine de la communication. Même au cas où un paquet de données est interceptée, l'identification de l'expéditeur n'est a priori pas possible.

"Pour créer un parcours réseau privé avec Tor, le logiciel construit incrémentalement un circuit de connexions chiffrées passant par des relais sur le réseau. Le circuit passe d'un bond à l'autre, et chaque relais sur le chemin ne connaît que le relais qui lui a transmis la connexion, et celui à qui il doit la remettre. Aucun relais individuel ne connaît le chemin complet qu'emprunte une donnée" est-il expliqué sur le site officiel.

L'anonymat de Tor fragilisé par des chercheurs

L'anonymat offert par Tor, récompensé ce printemps par la FSF pour son intérêt social, vient toutefois d'être ébranlé par l'équipe de chercheurs dirigée par Eric Filiol, directeur de la recherche à l'ESIEA et du laboratoire en cryptologie et virologie opérationnelles. Les scientifiques français affirment avoir réussi "à briser à la fois l'anonymisation et le chiffrement, [...] ce qui nous permet d'accéder à la totalité des informations claires".

Lors d'une conférence donnée cette semaine dans les locaux de l'ESIEA et rapportée par 01 Net et IT Espresso, Eric Filiol a expliqué être parvenu à dresser l'inventaire de toutes les machines, 5 827 nœuds au total, reliées au réseau Tor. Au total, 9 039 adresses IP ont été recensées, un nombre supérieur au total des machines mais qui s'explique par la présence d'adresses IP dynamiques.

Au cours de ce travail, les chercheurs français ont découvert des nœuds cachés, les "Tor Bridges", "non répertoriés dans le code source. Seule la fondation Tor connaît ces routeurs cachés" a expliqué l'expert informatique. Grâce à un algorithme de leur cru, l'équipe de chercheurs a recensé pour l'heure 181 nœuds cachés.

Analyse des nœuds, infection et manipulation du trafic

Grâce à cette vision d'ensemble, les chercheurs ont pu ensuite analyser la nature et la sécurité des machines. Il en ressort que 41,4 % d'entre elles tournent sous Windows et qu'environ 30 % de la totalité des nœuds sont vulnérables. Ces vulnérabilités sont manifestement suffisantes "pour qu'on puisse les infecter et obtenir facilement des privilèges système" a poursuivi Eric Filiol.

La prise de contrôle des machines permet ensuite de s'attaquer aux clés de chiffrement utilisés pour protéger les communications. Sur les trois couches de protection, deux été amoindries et la troisième a été percée par une méthode statistique. De là, les échanges entre les différents nœuds peuvent être déchiffrés sans aucune difficulté. "La cryptographie implantée dans TOR est mauvaise" a lancé  le directeur du laboratoire.

Dès lors que la protection des données transportées est levée, la prochaine étape consiste à faire transiter le trafic par les routeurs infectés. Cette méthode peut se faire avec grâce au "packet spinning force", une technique qui force les machines à faire des cycles de façon à faire tourner les paquets en rond. "On ne provoque pas de déni de service, juste des micro-congestions" a-t-il ajouté.

Le réseau Tor dans la ligne de mire des régimes autoritaires

La conférence donnée par Eric Filiol et détaillée par nos confrères sera suivie d'une présentation plus complète à la fin du mois. En attendant, le directeur de l'ENSIEA s'est montré critique envers Tor."On fait confiance à un réseau mais pas avec une vision globale de sécurité. Imaginez une entreprise où chacun fait ce qu'il veut sur son poste, le configure comme il veut... imaginez la sécurité résultante de l'entreprise".

"Le réseau Tor, c'est ça. [...] C'est une grosse entreprise dans laquelle chacun est libre de faire ce qu'il veut et tout le monde communique à travers des machines et personne n'a de vision globale. Autrement dit, le pire des cauchemars". Toute la question est de savoir comment le projet Tor va réagir suite aux recherches des chercheurs français.

L'étude conduite par les chercheurs français est évidemment une mauvaise nouvelle, à la fois pour le réseau Tor et pour les dissidents et journalistes du monde. Pour Tor d'une part, car la confiance dans le réseau risque d'être ébranlée si la méthode des chercheurs est valide. Pour les utilisateurs d'autre part, car cela les place en mauvaise posture face à des régimes autoritaires comme l'Iran, qui cherche à en finir avec Tor.
Publié par Julien L., le 15 Octobre 2011 à 15h39
 
 
49
Commentaires à propos de «L'anonymat du réseau Tor ébranlé par des chercheurs français»
 

1
2
3
En meme temps c'est tres vague pour l'instant, presque théorique, et tout se base sur des noeuds mal sécurisés et a priori sous windows donc verolables...

Et a priori si leur approche permet de lire le traffic, elle ne permet pas de connaitre clairement l'ip d'origine?
Auquel cas ils ont 'juste' les avantages de l'exit node...?

Hum, ca serait interessant d'en savoir plus...
"l'identité de l'expéditeur n'est a priori pas possible"
> identification
Il dit que ce n'est pas du dénis de serviceâ€
C'est en effet assez vague, on comprend qu'il préfèrerait un système centralisé or TOR à été conçu pour s'affranchir des systèmes centralisés.
Vu le contexte actuel autour du DPI et l'attrait qu'une telle annonce doit prendre pour certains (pays et fournisseurs de services), c'est à se demander si notre chercheur ne serait pas à la recherche d'un nouveau taff mieux rémunéré ?

Et vu l'importance de TOR pour certaines personnes qui lui confient leur vie, cette annonce confine à l'irresponsabilité je trouve. Ils auraient pu se contenter d'attendre qui l'organisme qui gère TOR annonce un correctif, comme c'est l'habitude, ou au minimum se contenter d'une annonce classique et succinte comme "Rdv à la confèrence X où nous ferons la démonstration que TOR est compromis" ?

L'étude conduite par les chercheurs français est évidemment une mauvaise nouvelle, à la fois pour le réseau Tor et pour les dissidents et journalistes du monde. Pour Tor d'une part, car la confiance dans le réseau risque d'être ébranlée si la méthode des chercheurs est valide. Pour les utilisateurs d'autre part, car cela les place en mauvaise posture face à des régimes autoritaires comme l'Iran, qui cherche à en finir avec Tor.

Je comprends pas le journaliste là.

Au contraire c'est une BONNE nouvelle.

Ben oui, monsieur Filiol n'a pas implanté une faille de sécurité dans le système Tor, il l'a découverte, permettant ainsi aux concepteurs du réseau de la corriger.

Avec plusieurs centaines de milliers d'informaticiens à son service, ne doutez pas qu'un gouvernement totalitaire comme la Chine travaille activement à trouver ce type de faille et ne le dit à personne. En conséquence cette faille est peut être déjà exploitée d'une manière ou d'une autre. Les chinois ont déjà attaqué Freenet par le passé, donc ça veut dire qu'ils y ont mis des ressources, difficile de croire qu'ils ne le fassent pas pour Tor qui est à priori plus utilisé que Freenet.

Sinon je serais curieux de savoir si les faiblesses cryptographiques de Tor relèvent d'un problème d'utilisation d'une librairie ou de faiblesses de l'implémentation des algo DANS la librairie. J'avais déjà lu un billet de je sais plus quel expert qui affirmait que bon nombre de librairies de sécurité avaient des soucis dans l'implémentation des algos. J'aimerai bien savoir lesquelles xD
- 9 039 adresses IP ont été recensées. Trop fort, ça ! Les IP des relais TOR sont publiques. Suffit d'installer TOR pour pouvoir les lister.

- depuis 48 heures, il y a eu 2 mises à jour de TOR. J'ignore si c'est en relation avec cette annonce (?) De ce que j'ai pu voir, quelques modifs dans l'interface, en tout cas.
Article chez Korben sur le sujet, il y a 5 jours. Les commentaires sont intéressants...
http://korben.info/tor-hack.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+KorbensBlog-UpgradeYourMind+(Korben's+Blog+-+Upgrade+Your+Mind)&utm_content=Netvibes
Attendons de voir ce que donne la présentation du sieur Filiol, et la réponse de TOR.
Je ne suis pas sur que seul l'Iran soit heureux de ces nouvelles certains états à la recherche d'activistes du net du type wikileak .
"l'identité de l'expéditeur n'est a priori pas possible"
> identification
Faux.. Il est non seulement possible de repérer la machine utilisée (donc de savoir que la personne derrière l'ordinateur est un dissident) mais également d'espionner les messages à l'insu de la personne†Ce qui risque de faire capoter toutes les opérations prévues de ceux qui croyaient être " à l'abris " des polices politiques des pays concernéesâ€
Connaissant la propension des boites françaises à vendre leur technologie aux régimes totalitaires les plus sinistres, il ne serait pas surprenant que ces luminaires de aient déjà vendu le résultat de leurs travaux à l'Iran, la Corée du Nord, la Syrie ou la Chine.
Carnosaure, le 15/10/2011 - 16:18
"l'identité de l'expéditeur n'est a priori pas possible"
> identification
Toto, le 15/10/2011 - 16:45
- 9 039 adresses IP ont été recensées. Trop fort, ça ! Les IP des relais TOR sont publiques. Suffit d'installer TOR pour pouvoir les lister.

- depuis 48 heures, il y a eu 2 mises à jour de TOR. J'ignore si c'est en relation avec cette annonce (?) De ce que j'ai pu voir, quelques modifs dans l'interface, en tout cas.
Tu n'interprètes pas bien les infos. Par exemple, tu n'es pas censé savoir que ton voisin utilise également le réseau TOR et pouvoir repérer si facilement son adresse IP. Si c'était le cas, ce réseau serait pire qu'une passoireâ€Autant appeler à la résistance en gueulant sur une place publique et attendre gentiment que la police arrive. Cela aurait le même effet†Il y a de tout façon des n?uds publiques (plus de 9000 n?uds qui correspondent à plus de 5000 machines) et des n?uds cachés (plus de 200 détectés à ce jour selon l'un des articles parus). Si des chercheurs du laboratoire d'une école d'ingénieurs comme l'ESIEA qui n'a pas du tout les moyens des services secrets d'un grand pays y arrivent, tu peux imaginer les S.S chinois ou iraniens†Il n'y a a priori pas moyen de sécuriser réellement le réseau dans le monde entier. Ces chercheurs ont décrits quelques failles mais ils ne réclament pas la paternité de ces découvertes et ne considèrent pas qu'il s'agit d'un exploit†Si cela se trouve, certains services secrets le savent depuis un certain temps et il y a également des dizaines d'autres failles. Ils ne vont pas le crier sur les toits car ils sont bien content de pouvoir espionner leurs dissidents qui se croient naivement à l'abrisâ€
Vercors, le 15/10/2011 - 17:59
Carnosaure, le 15/10/2011 - 16:18
"l'identité de l'expéditeur n'est a priori pas possible"
> identification
Toto, le 15/10/2011 - 16:45
- 9 039 adresses IP ont été recensées. Trop fort, ça ! Les IP des relais TOR sont publiques. Suffit d'installer TOR pour pouvoir les lister.

- depuis 48 heures, il y a eu 2 mises à jour de TOR. J'ignore si c'est en relation avec cette annonce (?) De ce que j'ai pu voir, quelques modifs dans l'interface, en tout cas.
Tu n'interprètes pas bien les infos. Par exemple, tu n'es pas censé savoir que ton voisin utilise également le réseau TOR et pouvoir repérer si facilement son adresse IP. Si c'était le cas, ce réseau serait pire qu'une passoireâ€Autant appeler à la résistance en gueulant sur une place publique et attendre gentiment que la police arrive. Cela aurait le même effet†Il y a de tout façon des n?uds publiques (plus de 9000 n?uds qui correspondent à plus de 5000 machines) et des n?uds cachés (plus de 200 détectés à ce jour selon l'un des articles parus). Si des chercheurs du laboratoire d'une école d'ingénieurs comme l'ESIEA qui n'a pas du tout les moyens des services secrets d'un grand pays y arrivent, tu peux imaginer les S.S chinois ou iraniens†Il n'y a a priori pas moyen de sécuriser réellement le réseau dans le monde entier. Ces chercheurs ont décrits quelques failles mais ils ne réclament pas la paternité de ces découvertes et ne considèrent pas qu'il s'agit d'un exploit†Si cela se trouve, certains services secrets le savent depuis un certain temps et il y a également des dizaines d'autres failles. Ils ne vont pas le crier sur les toits car ils sont bien content de pouvoir espionner leurs dissidents qui se croient naivement à l'abrisâ€

"Tu n'interprètes pas bien les infos" ? ! ?
Et toi, tu lis trop vite.
Certes, si tu utilises TOR comme CLIENT, pour surfer, chater, etc ton adresse est dissimulée (en fait, on t'en attribue une autre, d'un autre pays).
Mais, si tu décides de jouer le jeu en devenant un RELAIS TOR, ton IP est publiée, comme celle de tous les relais. C'est que je dis plus haut.
Et encore faut-il être conscient que le relais de sortie (eh oui, il faut bien sortir du réseau TOR pour aller sur le web, à moment donné), il y a deux choses à prendre en compte :
1) le relais de sortie connaît l'IP du demandeur, tout anonymisé qu'il soit durant le transport. Le point de sortie constitue en fait le "maillon faible" de TOR.
2) le relais de sortie est lui-même visible des sites de destination, c'est lui qui est vu comme visiteur. D'où le risque de se déclarer comme point de sortie sur le réseau, ne sachant pas vers quels sites (et donc quels contenus) vont chercher à aller les utilisateurs de TOR.
Il n'y a pas que des internautes opprimés vivant en dictature, sur TOR.
On peut d'ailleurs, si on veut rendre ce service de sortie, choisir les fonctions qu'on veut mettre à disposition : web, IRC, messagerie instantnée, SSL, courrier POP/Imap, etc
En même temps Tor reste très lourd à utiliser.
J'ai testé il y a quelques années et j'avais l'impression avec un 56 K en connexion ADSL.
J'espère qu'ils ont fait des progrès de ce coté là.
c'est plutôt une bonne nouvelle quand une faille est rendue publique. La faille est corrigée et l'application est plus sécurisée ou alors elle ne peut être corrigée et cette application tombe dans l'oubli et et remplacée par une autre plus securisée.
Le darwinisme appliqué à l'informatique en quelque sorte.
Pour ceux qui on joué à magic "survie du plus apte" ^^

Bon WE
Ces gens ont déjà publié des papiers moisis par la passé, ayant prétendu avoir cassé AES, alors qu'il n'en est rien. Méfiance donc.
Tout système crypté sera cassé un jour ou l'autre. Il est illusoire de se croire en sécurité parce qu'on utilise un système crypté.

Une équipe d'universitaires français publie des résultats qui montrent que Tor peut être cassé. A votre avis, cela fait combien de mois ou d'années que la NSA (qui a 1000 fois plus de budget et de moyens techniques) a abouti au même résultat, mais bien évidemment sans faire part publiquement ?

Parce que là aussi, 2e loi de la cryptologie : quand tu casses un code, tu ne le fais surtout pas savoir pour laisser l'illusion de la sécurité à ceux que tu veux observer.
astragor, le 15/10/2011 - 18:30
En même temps Tor reste très lourd à utiliser.
J'ai testé il y a quelques années et j'avais l'impression avec un 56 K en connexion ADSL.
J'espère qu'ils ont fait des progrès de ce coté là.

Ca ne peut bien sûr pas être d'une rapidité époustouflante. D'une part puisque pour surfer, on passe par un certain nombre de relais (2 en général). D'autre part, parce qu'il faut oublier la notion de "chemin le plus court". Et enfin, le temps aussi de chiffrer/déchiffrer, à chaque étape.

Mais, plus il y a de monde sur TOR (en termes de relais), plus ça va vite.
A prendre en considération.
Heureusement que ton "juste" est entre guillemets car j'ai joué le rôle d'exit node quelque temps pour voir le genre d'informations qui circulent sur ce réseau. C'est à la portée de Mme Michu (sisi). Le seul intérêt de Tor était donc l'anonymisation (en faisant bien attention à ne jamais y faire transiter de mots de passe en clair - et pourtant, le nombre de mots de passe récupérables en tant que noeud de sortie est assez effarant). Ensuite, je pense que les chercheurs ont récupéré les IP des noeuds précédent le leur et ont ensuite mené des pentests sur ces IP pour sortir les stats de la news. Je ne pense pas que cela puisse remettre en cause la partie anonymisation des noeuds "initiateurs", seulement, si un botnet peut être créé sur 30% du réseau TOR (la news parle d'escalade des droits possible sur cette proportion de machines), et bien il serait donc potentiellement possible de récupérer l'IP initiales d'1 paquet sur 3 transitat sur TOR, ce qui est déjà énorme.
Donc TOR n'était déjà pas pour moi, là c'est sûr, il ne le sera plus du tout. Dommage, c'était a priori un bon outil.

1
2
3
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Readon TV Movie Radio Player
TV Numérique - Regardez la télévision sans matériel supplémentaire.
 
Joog
Lecteur audio et vidéo - Navigateur / lecteur multimédia
 
Block Attack -
Jeu d'adresse - Jeu dans la lignée de Tetris, Puzzle Bobble, etc.
 
Fish Fillets - Next Generation
Réflexion - Casse-tête subaquatique
 
Ankh
Jeu de rôle - Jeu d'aventure délirant en Egypte
 
Octobre 2011
 
Lu Ma Me Je Ve Sa Di
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC