211service.com
Le réseau d'anonymat Tor a besoin d'une mise au point pour protéger les utilisateurs de la surveillance
Lorsque des rapports publiés plus tôt ce mois-ci ont révélé que l'Agence de sécurité nationale des États-Unis pourrait annuler les protections de l'outil d'anonymat Internet objectif , de nombreux militants et autres qui s'appuient sur l'outil n'avaient guère de raisons de paniquer. Malgré le ton alarmiste de certains titres, les techniques révélées reposaient sur des logiciels d'attaque tels que les navigateurs Web plutôt que sur Tor lui-même. Après avoir examiné les documents divulgués de la NSA, le projet Tor a déclaré qu'il n'y avait aucune indication qu'ils pouvaient enfreindre le protocole Tor.
Tout de même, le projet Tor essaie de développer des ajustements critiques sur le fonctionnement de son outil pour le renforcer contre un compromis potentiel. Des chercheurs de l'U.S. Naval Research Laboratory ont découvert que la conception de Tor est plus vulnérable qu'on ne le pensait auparavant à une sorte d'attaque que la NSA ou les agences gouvernementales d'autres pays pourraient monter pour désanonymiser les personnes utilisant Tor.
Tor empêche les utilisateurs d'Internet de laisser de nombreuses traces habituelles qui peuvent permettre à un gouvernement ou à un FAI de savoir à quels sites Web ou autres services ils se connectent. Les utilisateurs de l'outil vont des personnes essayant d'échapper aux pare-feu d'entreprise aux activistes, dissidents, criminels et fonctionnaires américains avec des adversaires plus sophistiqués à éviter.
Lorsque les gens installent le logiciel client Tor, leur trafic sortant et entrant emprunte une route indirecte autour d'Internet, passant par un réseau d'ordinateurs relais gérés par des bénévoles du monde entier. Les paquets de données qui transitent par ce réseau sont cryptés afin que les relais ne connaissent que leur destination précédente et suivante (voir Dissent Made Safer ). Cela signifie que même si un relais est compromis, l'identité des utilisateurs, et les détails de leur navigation, ne doivent pas être révélés.
Cependant, de nouvelles recherches montrent comment une agence gouvernementale pourrait déterminer la véritable source et destination du trafic Tor avec une relative facilité. Aaron Johnson du U.S. Naval Research Laboratory et ses collègues ont découvert que le réseau est vulnérable à un type d'attaque connu sous le nom d'analyse du trafic.
Ce type d'attaque consiste à observer les données de trafic Internet entrant et sortant du réseau Tor et à rechercher des modèles qui révèlent les services Internet auxquels une connexion Internet spécifique, et vraisemblablement son propriétaire, utilise Tor pour accéder. Johnson et ses collègues ont montré que la méthode pouvait être très efficace pour une organisation qui à la fois fournissait des relais au réseau Tor et pouvait surveiller une partie du trafic Internet via les FAI.
Notre analyse montre que 80 pour cent de tous les types d'utilisateurs peuvent être désanonymisés par un adversaire Tor-relay relativement modéré dans les six mois, écrivent les chercheurs dans un papier sur leurs découvertes. Ces résultats sont quelque peu sombres pour la sécurité actuelle du réseau Tor. Les travaux de Johnson et de ses collègues seront présentés au Conférence ACM sur la sécurité informatique et des communications à Berlin le mois prochain.
Johnson a dit Examen de la technologie du MIT que les personnes utilisant le réseau Tor pour se protéger contre des adversaires de faible puissance tels que les pare-feu d'entreprise ne sont pas susceptibles d'être affectées par le problème. Mais il pense que les personnes utilisant Tor pour échapper à l'attention des agences nationales ont des raisons de s'inquiéter. Il existe de nombreux cas plausibles dans lesquels quelqu'un serait en mesure de contrôler un FAI, explique Johnson.
Johnson dit que le fonctionnement de Tor doit être ajusté pour atténuer le problème que ses recherches ont découvert. Ce sentiment est partagé par Roger Dingledine, l'un des développeurs originaux de Tor et directeur actuel du projet (voir TR35 : Roger Dingledine).
Il ressort clairement de cet article qu'il existe *des* scénarios réalistes dans lesquels les utilisateurs de Tor courent un risque élevé d'un adversaire surveillant l'infrastructure Internet à proximité, a écrit Dingledine dans un article de blog la semaine dernière . Il note qu'une personne utilisant Tor pour visiter un service hébergé dans le même pays – il donne l'exemple de la Syrie – serait particulièrement à risque. Dans cette situation, la corrélation du trafic serait facile, car les autorités pourraient surveiller l'infrastructure Internet desservant à la fois l'utilisateur de Tor et le service auquel il se connecte.
Dingledine envisage des modifications au protocole Tor qui pourraient aider. Dans la conception actuelle, le client Tor sélectionne trois points d'entrée dans le réseau Tor et les utilise pendant 30 jours avant de choisir un nouvel ensemble. Mais chaque fois que de nouveaux gardes sont sélectionnés, le client court le risque d'en choisir un qu'un attaquant peut surveiller ou contrôler à l'aide d'une analyse de trafic. Configurer le client Tor pour sélectionner moins de gardes et les changer moins souvent rendrait les attaques de corrélation de trafic moins efficaces. Mais des recherches supplémentaires sont nécessaires avant qu'un tel changement puisse être apporté à la conception de Tor.
On ne sait pas si la NSA ou l'agence de sécurité nationale de tout autre pays essaie activement d'utiliser l'analyse du trafic contre Tor. Les rapports de ce mois-ci, basés sur des documents divulgués par Edward Snowden, ne disaient pas si la NSA le faisait. Mais un Présentation 2012 marqué comme basé sur du matériel de 2007, publié par le Gardien, et un Rapport de recherche de la NSA 2006 sur Tor, publié par le Washington Post a mentionné de telles techniques.
Stevens Le Blond , chercheur à l'Institut Max Planck pour les systèmes logiciels à Kaiserslautern, en Allemagne, suppose qu'à l'heure actuelle, la NSA et les agences équivalentes pourraient probablement utiliser la corrélation du trafic s'ils le souhaitent. Depuis 2006, la communauté académique a beaucoup travaillé sur l'analyse du trafic et a développé des attaques beaucoup plus sophistiquées que celles décrites dans ce rapport. Le Blond appelle le potentiel d'attaques comme celles détaillées par Johnson un gros problème.
Le Blond travaille à la conception d'un réseau alternatif d'anonymat appelé Aqua , conçu pour protéger contre la corrélation du trafic. Le trafic entrant et sortant d'un réseau Aqua est conçu pour être indiscernable grâce à un mélange de minutage minutieux et de mélange de faux trafic. Cependant, la conception d'Aqua n'a pas encore été implémentée dans un logiciel utilisable et ne peut jusqu'à présent que protéger le partage de fichiers plutôt que tous les types d'utilisation d'Internet.
En fait, malgré ses lacunes, Tor reste essentiellement le seul outil pratique disponible pour les personnes qui ont besoin ou veulent anonymiser leur trafic Internet, dit David Choffnes , professeur adjoint à la Northeastern University qui a aidé à concevoir Aqua. Le paysage actuel des systèmes de confidentialité est pauvre car il est incroyablement difficile de mettre en place un système qui fonctionne, et il y a un ordre de grandeur plus de travail qui regarde comment attaquer ces systèmes que d'en construire de nouveaux.