Le réseau tor hacké par des chercheurs français
Catégorie : Global
Thèmes : Informatique
La nouvelle est extrêmement grave. C’est lors d’une conférence tenue la semaine dernière que Éric Filiol a montré comment, lui et son équipe, ont mis le réseau à nu. Ils ont pour cela, développé une attaque qu’ils ont menée en plusieurs temps:
L’inventaire des nœuds du réseau
-Ceux-ci sont publiques et présents dans le code source: il y a en tout 9 039 adresses IP soit 5 827 nœuds (car certains utilisent des adresses IP dynamiques (qui changent)).
-Ils ont découvert des nœuds cachés qui permettent aux personnes vivant dans des dictatures de passer par ces relais non censurés par les autorités. Lorsqu’une personne souhaite utiliser ce service, une adresse de nœud secret lui est fournie.
-En utilisant un algorithme de scripts, ils ont automatisé la demande de passer par un nœud secret et ont ainsi pu en dénombrer 181.
L’infection et la prise de contrôle du réseau
-Après un audit de sécurité sur l’ensemble du réseau, il ressort que 41,4 % des machines tournent sous Windows, et qu’environ 30 % de la totalité des nœuds sont vulnérables
-Cela permet de contrôler une partie des relais et d’en attaquer le chiffrement des données (2 couches sur 3).
-Avec des analyses statistiques, la dernière couche de chiffrement est cassée.
-En saturant une partie du réseau, il est alors possible de réduire le nombre de nœuds disponibles pour favoriser un passage par ceux qui sont sous contrôle, et analyser les données transférées.
Conclusions
Grosso modo, il faut malheureusement considérer que Tor n’est actuellement plus fiable, et il faut espérer que les rectificatifs nécessaires seront rapidement effectués.
Autre fait inquiétant: les propos tenus par Éric Filiol sont extrêmement durs et semblent accuser la fondation Tor:
« La cryptographie implantée dans TOR est mauvaise…On a réduit considérablement le degré de deux des trois couches de chiffrement. »
« On ne peut pas imaginer que la fondation derrière TOR ne soit pas consciente de ses failles »
Reste à attendre patiemment les premières réactions de la fondation Tor, mais aussi la conférence « Hackers to Hackers » des 29 et 30 octobre à São Paulo au Brésil pour une présentation officielle de cette prouesse des chercheurs.
Pour l’instant, si l’équipe d’Eric Filiol a effectivement prétendu avoir réussi à prendre le contrôle du réseau d’anonymisation Tor, elle n’a pas publié les données qui permetteraient à d’autres de juger cette attaque ou de tenter de la reproduire. La fondation Tor explique donc qu’elle ne peux répondre à cette possible attaque qu’en faisant des suppositions, mais que les affirmations de l’équipe de Filiol semblent encore une fois exagérées (https://blog.torproject.org/blog/rumors-tors-compromise…rated) – le même chercheur avait déjà publié des traveaux sur l’algorithme de chiffrement AES réfutés par plusieurs chercheurs (http://eprint.iacr.org/2003/022.pdf) :
– l’inventaire des nœuds du réseau est inexact : il n’en en a pas 6000 mais 2500, dont la liste est publique
(https://metrics.torproject.org/network.html). Pour ce qui est des « nœuds secrets » (les bridges) ils n’ont obtenu que 181 noeuds sur 600. L’affirmation d’un tiers de nœuds vulnérables semble donc basée sur des
données fausses ;
– la vulnérabilité d’un tiers des nœuds, si elle était exacte, n’impliquerait pas qu’un tiers du trafic est vulnérable, car tous les nœuds n’ont pas une bande passante égale. Cependant l’algorithme de choix des relais de Tor
pourrait être amélioré ;
– les analyses statistiques qui permettraient alors de casser le chiffrement ne sont pas suffisamment expliquées.
Finalement la fondation Tor conclut qu’ils travaillent à trouver si il s’agit effectivement d’une attaque qu’ils peuvent corriger, ou si ils sont juste en train de faire du bruit pour attirer l’attention. On en saura peut-être plus dans quelques jours, puisque l’équipe d’Éric Filiol doit donner plus de détails lors de la conférence « Hackers to Hackers » les 29 et 30 octobre à São Paulo au résil.
Il n’est peut-être pas inutile de mentionner que Éric Filiol est lieutenant-colonel de l’armée de Terre française
(https://secure.wikimedia.org/wikipedia/fr/wiki/Éric_Filiol) qui peut avoir intérêt à casser le réseau Tor, mais aussi à enrayer sa popularisation en propageant des affirmations exagérées. Les auteurs de l’article auquel répond ce commentaire eux-mêmes demandent « Piratage du réseau Tor: à quel jeu joue Éric
Filiol ? » (http://www.revoltenumerique.herbesfolles.org/2011/10/25…liol/)
Pour l’instant, il n’y aurait donc pas de données crédibles qui justifiraient de s’inquiéter. Mais cette affaire a au moins le mérite de rappeler que la sécurité informatique est un domaine où il s’agit d’être toujours vigilants, que ce soit aux nouvelles failles qu’aux annonces fantaisistes.