L'Agence nationale de sécurité des systèmes d'information (ANSSI) a publié une note de sécurité préconisant aux entreprises et administration de filtrer ou de bloquer les communications avec le réseau Tor, utilisé pour anonymiser des connexions.

Comme le remarque Jean-Marc Manach sur Twitter, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié fin février une recommandation passée jusque là inaperçue, concernant le réseau Tor. L’alerte a été diffusée par le CERT-FR, le centre français de réponse aux urgences informatiques, hébergé par l’ANSSI.

L’administration recommande aux entreprises et aux administrations de « détecter voire bloquer les communications qui pourraient être établies vers des noeuds Tor, même si son utilisation n’est pas explicitement proscrite par la PSSI (politique de sécurité du système d’information) de l’organisation ».

Techniquement, l’ANSSI préconise par exemple de créer un serveur proxy pour filtrer les connexions sortantes, en mettant les règles du pare-feu à jour avec les listes publiques d’adresses IP de nœuds Tor. Elle propose aussi de bloquer les ports 9001 et 9030, spécifiques au réseau d’anonymisation.

Mais pourquoi ?

Tor-browser
Tor Browser, le navigateur prêt-à-l’emploi pour utiliser Tor.

L’ANSSI rappelle que Tor est « une solution relativement simple à mettre en oeuvre pour éviter que ses communications vers Internet puissent être identifiées, voire surveillées ou bloquées par un tiers », ce qui peut poser des problèmes «  en particulier du point de vue de la sécurité pour les entreprises et autres organisations ».

« Bien qu’ayant été conçu pour répondre à des besoins liés à une utilisation bienveillante, le projet Tor présente des limites dont il faut être conscient pour ne pas négliger certains risques de sécurité », prévient l’Agence. Elle note entre autres choses que « Tor peut servir à camoufler le trafic réseau de maliciels (malwares) pour, par exemple, exfiltrer des données sensibles ou créer un canal de communication caché permettant à des attaquants de contrôler des machines infectées ».

C’est exactement le cas, par exemple, du premier ransomware apparu sur Mac OS X, qui communique avec son maître à travers le réseau Tor.

En outre, le logiciel peut être utilisé pour contourner des mesures de contrôles mises en place pour empêcher l’accès à des sites interdits, ou limiter les risques de divulgation de documents confidentiels.

Partager sur les réseaux sociaux

Articles liés