Le projet Tor a partagé sa réponse à la désanonymisation d'un "Onion Service" par une attaque ciblée. L'équipe chargée du développement du réseau affirme que le réseau Tor est en bonne santé. Le service utilisé par l'utilisateur désanonymisé était sur l'application Ricochet, depuis longtemps abandonnée. Les versions les plus récentes du service disposent des protections contre ce type d'attaque.Tor (The Onion Router) est un réseau superposé gratuit qui permet de communiquer de manière anonyme. Basé sur un logiciel gratuit et open-source, et plus de sept mille relais bénévoles dans le monde, les utilisateurs peuvent faire acheminer leur trafic Internet par un chemin aléatoire à travers le réseau. L'utilisation de Tor rend plus difficile le traçage de l'activité Internet d'un utilisateur en empêchant tout point unique sur Internet (autre que l'appareil de l'utilisateur) de voir à la fois d'où vient le trafic et où il va en fin de compte.
Fait qui prouve que le service d'anonymat en ligne Tor était fiable, la Russie avait bloqué le service début décembre 2021 pour des raisons de sécurité nationale. Roskomnadzor, le régulateur russe des médias, avait déclaré : "Cette décision a été motivée par le placement sur ce site d'informations permettant le fonctionnement d'outils donnant accès à des contenus illicites." Pour beaucoup, cette interdiction représentait un effort de plus pour contrôler l'Internet en Russie.
Mais récemment, un article d'investigation avait révélé la désanonymisation d'un "Onion Service" par une attaque ciblée. Pour répondre à cela, l'équipe chargée du développement de Tor souhaitait rassurer ces utilisateurs et répondre aux questions que cette attaque suscitait.
Voici le message de l'équipe de Tor :
[QUOTE]
Tor est-il toujours sûr à utiliser ?
Nous écrivons ce billet de blog en réponse à un article d'investigation sur la désanonymisation d'un Onion Service utilisé par un utilisateur de Tor utilisant une ancienne version de l'application Ricochet, depuis longtemps obsolète, par le biais d'une attaque ciblée des forces de l'ordre. Comme beaucoup d'entre vous, nous avons plus de questions que de réponses, mais une chose est claire : les utilisateurs de Tor peuvent continuer à utiliser Tor Browser pour accéder au web de manière sécurisée et anonyme. Et le réseau Tor est en bonne santé.
Veuillez noter que pour la grande majorité des utilisateurs dans le monde qui ont besoin de protéger leur vie privée lorsqu'ils naviguent sur Internet, Tor reste la meilleure solution pour eux. Nous encourageons les utilisateurs du navigateur Tor et les opérateurs de relais à toujours maintenir les versions de leurs logiciels à jour.
D'après les informations limitées dont dispose le projet Tor, nous pensons qu'un utilisateur de l'application Ricochet, depuis longtemps abandonnée, a été complètement désanonymisé par une attaque de découverte "Guard". Cela a été possible, à l'époque, parce que l'utilisateur utilisait une version du logiciel qui n'avait ni "Vanguards-lite", ni l'addon "vanguards", qui ont été introduits pour protéger les utilisateurs contre ce type d'attaque. Cette protection existe dans "Ricochet-Refresh", un fork maintenu du projet "Ricochet", depuis la version 3.0.12 publiée en juin 2022.
"Vanguards-lite", publié dans Tor 0.4.7, protège contre la possibilité de combiner une création de circuit induite par l'adversaire avec un canal secret basé sur un circuit pour obtenir un relais intermédiaire malveillant confirmé comme étant à côté du "Guard" de l'utilisateur. Une fois le "Guard" obtenue, les heures de connexion du flux net peuvent être utilisées pour trouver l'utilisateur concerné. Dans ce cas, l'attaque par flux net a pu se dérouler rapidement, car l'attaquant a pu déterminer quand l'utilisateur était en ligne et hors ligne en raison de la disponibilité de son descripteur Onion Service, combinée au faible nombre d'utilisateurs sur le Guard découvert.
Divulgation responsable
Contrairement au CCC (Chaos Computer Club), qui a eu accès aux documents relatifs à l'affaire et a pu analyser et valider les hypothèses du journaliste, nous n'avons reçu qu'un aperçu vague et des questions de clarification générales qui nous ont laissé dans l'incertitude quant aux faits et nous ont amené à nous poser des questions. Nous apprécions que le journaliste nous ait contactés, mais le projet Tor n'a pas bénéficié du même accès.
Compte tenu du risque potentiel pour nos utilisateurs, nous avons décidé de rendre l'affaire publique. Nous avons demandé à toute personne disposant d'informations supplémentaires sur l'affaire de les partager avec nous. Cela nous permettra de mener notre propre analyse et de déterminer le meilleur plan d'action pour protéger nos utilisateurs.
Pour être clair, le Projet Tor n'avait pas l'intention de demander les sources de l'histoire, mais cherchait à comprendre quelles étaient les preuves d'une attaque de désanonymisation pour répondre avec précision aux questions du journaliste enquêteur et évaluer nos responsabilités en matière de divulgation. Nous continuons à souhaiter obtenir davantage d'informations sur la manière dont les utilisateurs d'Onion Services ont été désanonymisés. Si nous avions accès aux mêmes documents que la CCC, il serait possible de produire un rapport plus clair sur l'état actuel du réseau Tor et sur la façon dont il affecte la grande majorité de ses utilisateurs.
Nous avons besoin de plus de détails sur cette affaire. En l'absence de faits, il nous est difficile d'émettre des conseils officiels ou des informations responsables à la communauté Tor, aux opérateurs de relais et aux utilisateurs.
Nous vous demandons de nous fournir davantage d'informations.
Si vous disposez d'informations susceptibles de nous aider à en savoir plus sur cette attaque présumée, veuillez envoyer un courriel à security@torproject.org.
Si vous souhaitez chiffrer votre courrier, vous pouvez obtenir la clé publique OpenPGP de cette adresse à l'adresse keys.openpgp.org. Empreinte digitale : 835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41
Votre aide nous permettra de prendre les mesures et les précautions nécessaires pour garder les Onion Services sûrs pour les millions d'utilisateurs qui comptent sur les protections fournies par Tor.
Un réseau sain
Il est important de noter que les Onion Services ne sont accessibles qu'à partir du réseau Tor, c'est pourquoi la discussion sur les nœuds de sortie n'est pas pertinente dans ce cas. Mais nous aimerions partager le fait que le nombre de nœuds de sortie a augmenté de manière significative au cours des deux dernières années, avec plus de 2 000 nœuds disponibles aujourd'hui. À notre connaissance, les attaques ont eu lieu entre 2019 et 2021.
S'il est légitime de s'interroger sur la concentration de ces nœuds dans certains pays ou certaines opérations, cela n'a pas grand-chose à voir avec l'attaque décrite, d'après ce que nous avons appris dans les articles publiés jusqu'à présent. Les attaques se sont produites sur une ancienne version de l'application Ricochet, qui a pris fin il y a longtemps, et qui ne disposait pas des nouvelles fonctionnalités que le projet Tor a mises en place depuis pour atténuer le type d'analyse "temporelle" décrite dans les articles. Les versions les plus récentes de "Ricochet-Refresh" disposent de telles protections.
Un autre point important à mentionner est la longévité de la connexion de l'utilisateur pour qu'une telle analyse "temporelle" soit réussie. Un utilisateur de Tor Browser qui ne maintient pas sa connexion pendant longtemps est moins vulnérable à de telles analyses.
Après la période des attaques qui nous a été décrite, 2019-2021, notre équipe Network Health a signalé des milliers de mauvais relais que les autorités d'annuaire ont ensuite voté pour supprimer. Il s'agissait notamment de relais provenant d'un seul opérateur ou tentant d'entrer dans le réseau à grande échelle. L'équipe Network Health a mis en place des processus pour identifier d'éventuels grands groupes de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
