Peut-on encore faire confiance à TOR ?

Une équipe de chercheurs français, menée par Éric Filiol, vient de démontrer que ce réseau présente des faiblesses structurelles globales. Son trafic pourrait, notamment, être impacté par une attaque Ddos. Eric Filiol apporte des précisions. Entretien exclusif.

 

Propos recueillis par Philippe Richard

 

 

 

Durant 4 mois, vous avez modélisé de façon exhaustive toutes les routes possibles et avez confronté votre modèle théorique avec la réalité ; en quoi consiste-t-il ?
En fait nous voulions comprendre comment les routes étaient calculées par le protocole TOR, si tous les nœuds avaient réellement le même poids, autrement dit si la répartition des nœuds (Onion routers et relay bridges) était proche d’une distribution aléatoire. En d’autres termes est-ce que certains nœuds sont plus susceptibles, et si cela est le cas avec quelle fréquence, d’être choisi pour router l’information. En 2011 nous avions fait le constat que cela n’était apparemment pas le cas, mais sur une base plutôt empirique et de sondages.
Ici en utilisant les informations données par la fondation TOR (les fichiers consensus en particulier), nous avons fait une génération exhaustive des routes (11 milliards) et analysé ces résultats sous l’angle statistique et combinatoire (la structure du graphe qui représente toutes ces routes et leurs relations via les nœuds). Cela nous a permis de montrer que respectivement 33 %, 50 %, 66 % et 75 % des routes étaient gérées par un nombre limité de nœuds dont nous avons chaque fois isolé la liste. Cela veut dire qu’en fait il suffit de s’attaquer à un nombre réduit de nœuds (par attaque de malware, par DDoS) pour impacter une part significative du trafic réseau.
En outre, pour travailler sur la partie relay bridges (rappel nœuds cachés dont seule la fondation TOR connaît la liste qui n’est pas publique, environ 3000 à 3500 nœuds actifs) nous avons dû mettre en place une procédure d’extraction automatisée de ces bridges, la technique que nous avions publiée en 2011 n’étant plus valide du fait du renforcement de la sécurité par la fondation TOR du système de requêtes des bridges (3 par requêtes, accès lent et manuel pour un utilisateur normal). À ce jour, nous avons extrait environ 2500 bridges.
Enfin, nous avons conduit une très large opération de renseignement en source ouverte et semi-ouverte qui nous a permis de mieux comprendre la structure, les liens, l’organisation, le financement du système TOR (acteurs, fondation, projets connexes…)

Quels sont les résultats préliminaires ?
Une rapide description du contenu de l’étude et surtout les listes des 2500 bridges extraits et les listes des sous-ensembles de nœuds gérant 33 %, 50 %, 66 % et 75 % du trafic.

Votre analyse statistique, que vous présenterez prochainement en détail lors d’une conférence, remet donc en cause la sécurité des échanges via TOR ?
Il est important de noter que nous livrons des résultats et non une attaque. Maintenant, je pense qu’avec ces listes de nœuds très particuliers, quelqu’un qui mènerait une attaque par DDoS par exemple, contre eux obtiendrait un impact majeur contre ce trafic. Nous ne l’avons pas fait, mais nous expliquons comment cela pourrait être fait, pourquoi et selon quelle méthodologie.

 

Des faiblesses structurelles globales du réseau

 

Si votre laboratoire est arrivé à ces conclusions, on peut facilement imaginer que des agences de renseignement disposent des mêmes informations et que par conséquent elles espionnent TOR alors que des personnes pensent que leurs échanges restent anonymes ?
C’est en partie le message que nous voulons faire passer. Nos moyens sont limités et si nous avons eu l’idée, il est plus que probable que d’autres l’ont également eue… mais ne le diront pas. Dans ces conditions, nos résultats ne peuvent que contribuer à faire réfléchir plus largement à la confiance que l’on peut accorder ou pas à ce réseau.

Ce n’est pas la première fois que l’anonymat sur TOR est remis en cause. En 2011, votre laboratoire était parvenu à dresser l’inventaire de toutes les machines, 5 827 nœuds au total, reliées au réseau TOR. Au total, 9 039 adresses IP avaient été recensées. Vous déclariez être parvenu « à briser à la fois l’anonymisation et le chiffrement […] ce qui nous permet d’accéder à la totalité des informations claires ».
Avec le recul, je pense que nous n’aurions pas dû présenter les résultats ainsi. Nous n’avions pas mesuré l’hystérie collective que cela a déclenchée. J’ai tellement vu de gens affirmer tout et n’importe quoi alors que je me suis aperçu qu’il n’avait non seulement pas analysé et testé nos codes, mais pire, n’avaient jamais mis le nez dans le code source de TOR. De plus, nous n’avions pas bien expliqué le choix des nœuds que nous attaquions pour modifier la cryptographie en place et agir. Nous avions fait des simulations réalistes sur une reproduction en échelle réduite du réseau TOR et effectivement nous avions pu décrypter l’information qui passait par des routes de trois nœuds infectés. Dans l’étude de 2017, nous n’avons pas réalisé d’attaques, ni ne prétendons l’avoir fait, mais identifié des faiblesses structurelles globales du réseau qui pourraient être exploitées efficacement (davantage pour faire tomber le réseau que pour contourner l’anonymat et/ou le chiffrement, ce qui requiert d’affecter simultanément tous les nœuds identifiés).

 

La protection juridique du dirigeant

 

En décembre 2016, une faille critique permettait de démasquer les utilisateurs du réseau TOR.
Cela illustre encore une fois qu’il faut avoir une vision globale de la sécurité d’un système de l’architecture globale à la sécurité locale de chaque élément. En extrapolant, imaginons un 0-day exploitable (des choses qui bien sûr n’existent pas) sur toutes les machines d’une des listes que nous donnons en annexe. Cela permet un contrôle sur 33, 50, 66 ou 75 % du trafic.

Quelles solutions ou précautions faut-il mettre en place ? ProtonMail arrive sur le réseau TOR pour protéger sa messagerie sécurisée de la censure ; est-ce une des pistes envisageables ?
Tout d’abord, je ne pense pas que l’on puisse faire aveuglément confiance au réseau TOR (et à sa fondation) comme à n’importe quel réseau. Multiplier les acteurs et les technologies est plutôt une bonne approche. C’est un principe de base en sécurité (que ne respectent pas la plupart des entreprises d’ailleurs) : diversifier et combiner les technologies et défendre en profondeur.

Vous publiez en annexe de votre post un document de plus de 200 pages ; pourquoi ?
Comme preuve scientifique. Il ne suffit pas de dire que l’on peut faire une chose. Le mieux est de donner les résultats exhaustifs. Les partager c’est aussi contribuer à la réflexion générale et permettre une vue croisée (autre grand principe scientifique). Maintenant, je dois être honnête, je veux aussi donner aux entreprises les moyens de contrôler au sein de leur système d’information les accès vers et depuis TOR. Depuis un an, je vois trop de problèmes (entre les ransomware, les conduites contestables de salariés, les activités de certains botnets…) dans ces entreprises qui sont liés à TOR. Il est important que les DSI et les sysadmin puissent identifier précisément des adresses IP impliquées et les filtrer. Je considère que c’est une démarche civique et contribue à la protection juridique du dirigeant (lequel est pénalement et civilement responsable de ce qui se fait sur son réseau et à partir de son réseau). Quand Roger Dingledine (fondation TOR) affirme lors de la DefCon 25 (été 2017) que dire que « 80 % des utilisateurs sont des bad people » est un mythe, cela me pose un sérieux problème : soit il a des preuves de ce qu’il avance, mais cela implique que la fondation TOR a une certaine capacité à monitorer ce qui passe sur son réseau qualitativement et là je pense que nous avons un sérieux problème de confiance, soit il remplace un mythe par un autre.

 

LIEN VERS L’ARTICLE : cliquez ICI