By Leave a Comment on Tor et la navigation anonyme – à quel point est-ce sûr ?

Un article publié sur le site de blogue ouvert à tous Medium en début de semaine a fait des gros titres effrayants.

Écrit comme un travail de recherche indépendant par un auteur se présentant uniquement sous le nom de nusenu, l’article est titré :

Comment les relais Tor malveillants exploitent les utilisateurs en 2020 (partie I)

23% de la capacité de sortie du réseau Tor a attaqué les utilisateurs de Tor

Logement parlant, ce slogan implique que si vous visitez un site Web en utilisant Tor, généralement dans l’espoir de rester anonyme et de se tenir à l’écart de la surveillance non désirée, la censure ou même tout simplement le bon vieux suivi du Web à des fins de marketing….

…alors une visite sur quatre (peut-être plus !) sera soumis à l’examen délibéré des cybercriminels.

Cela semble plus qu’inquiétant – cela donne l’impression que l’utilisation de Tor pourrait vous rendre encore moins sûr que vous ne l’êtes déjà, et donc que revenir à un navigateur ordinaire pour tout pourrait être une étape importante.

Donc, regardons rapidement comment Tor fonctionne, comment les escrocs (et les pays avec des règles strictes sur la censure et la surveillance) pourraient en abuser, et à quel point le titre mentionné ci-dessus est vraiment effrayant.

Le réseau Tor (Tor est l’abréviation de routeur oignon, pour des raisons qui seront évidentes dans un moment si vous imaginez un oignon se défaisant au fur et à mesure que vous l’épluchez), qui a été conçu à l’origine par la marine américaine, a pour but :

  1. De déguiser votre véritable emplacement sur le réseau pendant que vous naviguez, afin que les serveurs ne sachent pas où vous êtes.
  2. De rendre difficile pour quiconque de « relier les points » en retraçant vos demandes de navigation sur le Web jusqu’à votre ordinateur.

À ce stade, vous pourriez penser : « Mais c’est exactement ce que fait un VPN, et pas seulement pour ma navigation mais pour tout ce que je fais en ligne. »

Mais ce n’est pas le cas.

Un VPN (réseau privé virtuel) crypte tout votre trafic réseau et le relaie sous forme brouillée vers un serveur VPN géré par votre fournisseur de VPN, où il est débrouillé et « injecté » sur Internet comme s’il provenait de ce serveur VPN.

Toutes les réponses du réseau sont donc reçues par votre fournisseur VPN en votre nom, et vous sont renvoyées sous forme cryptée.

La connexion cryptée entre votre ordinateur est surnommée tunnel VPN, et est, en théorie, invisible pour, ou du moins insoupçonnable par, les autres personnes en ligne.

Donc, comme vous pouvez le voir, un VPN traite le premier problème énuméré ci-dessus : déguiser votre véritable emplacement sur le réseau.

Mais un VPN ne traite pas le deuxième problème, à savoir rendre difficile pour quiconque de « joindre les points ».

Sûr, un VPN rend difficile pour la plupart des gens de joindre les points, mais il n’empêche pas tout le monde de le faire, pour la simple raison que le fournisseur de VPN sait toujours d’où viennent vos demandes, où elles vont, et quelles données vous envoyez et recevez en fin de compte.

Votre fournisseur VPN devient donc essentiellement votre nouveau FAI, avec le même degré de visibilité sur votre vie en ligne qu’un FAI ordinaire.

Pourquoi ne pas utiliser deux VPN ?

À ce stade, vous vous dites probablement :  » Pourquoi ne pas utiliser deux VPN à la suite ? « . En termes de jargon, pourquoi ne pas construire un tunnel-dans-un-tunnel ? « 

Vous crypteriez votre trafic réseau pour que VPN2 le décrypte, puis le crypterait à nouveau pour que VPN1 le décrypte, et l’enverrait au VPN1.

Donc, VPN1 saurait d’où vient votre trafic et VPN2 saurait où il va, mais à moins que les deux fournisseurs ne se concertent, ils ne connaîtraient chacun que la moitié de l’histoire.

En théorie, vous auriez rempli les deux objectifs ci-dessus par une sorte d’approche « diviser pour mieux régner », parce que quiconque voudrait vous retrouver devrait d’abord obtenir des journaux de trafic décryptés de VPN2, puis obtenir les détails du nom d’utilisateur de VPN1 avant de pouvoir commencer à « joindre les points ».

Pourquoi s’arrêter à deux ?

Comme vous pouvez l’imaginer, même en utilisant deux VPN, vous n’êtes pas totalement à la maison et au sec.

Premièrement, en utilisant les deux mêmes VPN à chaque fois, il y a un modèle évident à vos connexions, et donc une cohérence dans la piste qu’un enquêteur (ou un escroc) pourrait suivre pour essayer de vous retrouver.

Pour autant que votre trafic suive un itinéraire compliqué, il emprunte néanmoins le même itinéraire à chaque fois, de sorte qu’il pourrait valoir le temps et l’effort pour un criminel (ou un flic) de travailler à rebours à travers les deux couches de VPN, même si cela signifie deux fois plus de piratage ou deux fois plus de mandats.

Deuxièmement, il y a toujours une possibilité que les deux fournisseurs de VPN que vous choisissez puissent finalement être détenus ou exploités par la même entreprise.

En d’autres termes, la séparation technique, physique et juridique entre les deux VPN pourrait ne pas être aussi importante que vous le pensez – au point qu’ils pourraient même ne pas avoir besoin du tout de collusion pour vous retrouver.

Alors pourquoi ne pas utiliser trois VPN, avec un au milieu qui ne sait ni qui vous êtes ni où vous allez finalement ?

Et pourquoi ne pas hacher et changer ces VPN sur une base régulière, pour ajouter encore plus de mélange et de mystère dans l’équation ?

Eh bien, très grandement simplifié, c’est à peu près la façon dont Tor fonctionne.

Un pool d’ordinateurs, offerts par des volontaires à travers le monde, agissent comme des relais d’anonymisation pour fournir ce qui est essentiellement un VPN aléatoire, multi-tunnel « mélange et mystère » pour les personnes qui naviguent via le réseau Tor.

Pendant la majeure partie de l’année dernière, le nombre total de relais disponibles pour le réseau Tor a oscillé entre environ 6000 et 7000, chaque circuit Tor mis en place utilisant trois relais, en grande partie au hasard, pour former une sorte de VPN à trois tunnels.

Votre ordinateur choisit les relais à utiliser, pas le réseau lui-même, donc il y a effectivement beaucoup de mélange-et-mystère en constante évolution impliqué dans le rebond de votre trafic à travers le réseau Tor et retour.

Votre ordinateur récupère les clés de chiffrement publiques pour chacun des relais du circuit qu’il met en place, puis brouille les données que vous envoyez en utilisant trois couches de chiffrement en oignon, de sorte qu’à chaque saut dans le circuit, le relais actuel ne peut que retirer la couche de chiffrement la plus externe avant de transmettre les données au suivant.

Le relais 1 sait qui vous êtes, mais pas où vous allez ni ce que vous voulez dire.

Le relais 3 sait où vous allez mais pas qui vous êtes.

Le relais 2 tient les deux autres relais à l’écart sans savoir ni qui vous êtes ni où vous allez, ce qui rend beaucoup plus difficile la collusion entre les relais 1 et 3, même s’ils ont l’intention de le faire.

Ce n’est pas tout à fait aussi aléatoire

Dans le graphique ci-dessus, vous remarquerez que la ligne verte au milieu désigne les relais Tor spéciaux connus sous le nom de gardes, ou gardes d’entrée en toutes lettres, qui sont le sous-ensemble des relais de travail jugés appropriés pour le premier saut dans un circuit à 3 relais.

(Pour des raisons techniques, Tor utilise en fait le même garde d’entrée pour toutes vos connexions pendant environ deux mois à la fois, ce qui réduit quelque peu le caractère aléatoire de vos circuits Tor, mais nous allons ignorer ce détail ici.)

De même, la ligne orange en bas dénote les sorties, ou les nœuds de sortie en entier, qui sont des relais qui sont jugés suffisamment fiables pour être sélectionnés pour le dernier saut dans un circuit.

Notez qu’ici il n’y a qu’environ 1000 nœuds de sortie actifs à tout moment, sur les 6000 à 7000 relais disponibles dans l’ensemble.

Vous pouvez probablement voir où cela va.

Bien que les nœuds de sortie de Tor ne puissent pas dire où vous êtes, grâce aux effets d’anonymisation du gardien d’entrée et du relais intermédiaire (qui change fréquemment), ils peuvent voir votre trafic final, décrypté, et sa destination ultime, parce que c’est le nœud de sortie qui enlève la dernière couche de cryptage mixte de Tor.

(Lorsque vous naviguez sur des sites web ordinaires via Tor, le réseau n’a pas d’autre choix que d’émettre vos données brutes, originales et décryptées pour son dernier saut sur Internet, sinon le site que vous visitiez ne serait pas en mesure d’y trouver un sens.)

En d’autres termes, si vous utilisez Tor pour naviguer sur une page web non-HTTPS (non chiffrée), alors le nœud de sortie de Tor qui gère votre trafic peut non seulement fouiner et modifier vos requêtes web sortantes mais aussi salir toutes les réponses qui reviennent.

Et avec seulement 1000 nœuds de sortie disponibles en moyenne, un escroc qui veut acquérir le contrôle d’un pourcentage non négligeable de sorties n’a pas besoin de mettre en place des milliers ou des dizaines de milliers de serveurs – quelques centaines suffisent.

Et ce genre d’intervention est ce que nusenu prétend avoir détecté dans le réseau Tor à une échelle qui peut parfois impliquer jusqu’à un quart des nœuds de sortie disponibles.

Plus précisément, Nusenu affirme que, à certains moments au cours de l’année 2020, des centaines de relais Tor dans la liste des « nœuds de sortie » ont été mis en place par des volontaires à l’esprit criminel avec des arrière-pensées :

L’étendue complète de leurs opérations est inconnue, mais une motivation semble être claire et simple : le profit. Ils effectuent des attaques de type « personne au milieu » sur les utilisateurs de Tor en manipulant le trafic lorsqu’il passe par leurs relais de sortie. Il semble qu’ils s’en prennent principalement aux sites Web liés aux crypto-monnaies, à savoir plusieurs services de mélange de bitcoins. Ils ont remplacé les adresses bitcoin dans le trafic HTTP pour rediriger les transactions vers leurs portefeuilles au lieu de l’adresse bitcoin fournie par l’utilisateur. Les attaques par réécriture d’adresses bitcoin ne sont pas nouvelles, mais l’ampleur de leurs opérations l’est. Il n’est pas possible de déterminer s’ils se livrent à d’autres types d’attaques.

En clair, Nusenu allègue que ces escrocs attendent de s’attaquer aux utilisateurs de crypto-monnaies qui pensent que Tor à lui seul suffit à sécuriser à la fois leur anonymat et leurs données, et qui naviguent donc via Tor mais ne prennent pas soin de mettre https:// au début des nouvelles URL qu’ils tapent.
.

HTTP considéré comme nuisible

Pour le meilleur ou pour le pire, la plupart du temps, vous pouvez ignorer le https:// lorsque vous tapez des URL dans votre navigateur, et vous finirez toujours sur un site HTTPS, crypté et protégé par un cadenas.

Souvent, le serveur à l’autre bout réagira à une demande HTTP par une réponse qui dit : « À partir de maintenant, veuillez ne plus utiliser le bon vieux HTTP », et votre navigateur s’en souviendra et mettra automatiquement à niveau toutes les futures connexions à ce site pour qu’elles utilisent HTTPS.

Ces réponses « n’utilisez plus jamais HTTP » mettent en œuvre ce que l’on appelle HSTS, abréviation de HTTP Strict Transport Security, et elles sont censées vous protéger contre l’espionnage et la manipulation du trafic, même si vous ne vous arrêtez jamais pour y penser.

Mais il y a un problème de la poule et de l’œuf, à savoir que si les escrocs interceptent votre toute première connexion non-HTTPS vers un site web auquel vous devriez vraiment accéder uniquement via HTTPS, avant que le message « plus de HTTPS » ne passe, ils peuvent être en mesure de :

  • Vous faire parler HTTP vers leur nœud de sortie piégé tout en parlant HTTPS vers la destination finale. Cela fait croire au site final que vous communiquez de manière sécurisée, mais vous empêche de réaliser que le site de destination veut que vous parliez HTTPS.
  • Réécrire toutes les réponses de la destination finale pour remplacer tous les liens HTTPS par HTTP. Cela empêche votre navigateur de passer au HTTPS plus tard dans la transaction, vous laissant ainsi coincé avec le bon vieux HTTP.

Que faire ?

Voici quelques conseils :

  • N’oubliez pas de taper https:// au début de l’URL ! Pour des raisons historiques, les navigateurs utilisent toujours HTTP par défaut jusqu’à ce qu’ils sachent mieux, donc plus tôt vous visitez un site en tapant explicitement https:// au début de l’URL, plus tôt vous vous protégez en rendant vos intentions évidentes.
  • Si vous gérez un site web, utilisez toujours HSTS pour dire à vos visiteurs de ne pas utiliser HTTP la prochaine fois.
  • Si vous gérez un site web où la confidentialité et la sécurité ne sont pas négociables, envisagez de demander l’ajout de votre site à la liste HSTS Preload. Il s’agit d’une liste de sites Web pour lesquels tous les principaux navigateurs utiliseront toujours HTTPS, quelle que soit l’URL.
  • Si votre navigateur le prend en charge ou dispose d’un plugin pour l’appliquer, envisagez de désactiver complètement le support HTTP. Par exemple, Firefox dispose désormais d’une fonctionnalité de configuration par défaut appelée dom.security.https_only_mode. Certains sites plus anciens pourraient ne pas fonctionner correctement avec ce paramètre activé, mais si vous êtes sérieux au sujet de la sécurité, essayez !

HOW TO ENABLE HTTPS-ONLY MODE IN FIREFOX 79

Activer le mode HTTP uniquement dans Firefox.
1. Allez à about:config. 2. Recherchez https_only_mode. 3. Activez l’option.
Essayer de visiter une page HTTP où le HTTPS est indisponible ou bloqué.

(Malheureusement, l’option « HTTPS uniquement » de Firefox n’est pas encore disponible dans le navigateur Tor, qui utilise toujours une version Extended Support Release où cette fonctionnalité n’est pas encore apparue.)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.