EXCLU. Premiers retours sur l’analyse du réseau TOR

Il se passe des choses décidément bizarres dans la gestion du réseau…

Par Maxence Delong et Éric Filiol

Laboratoire (C+V)O / CNS – Laboratoire de Cryptologie et de Virologie Opérationnelles / Axe Confiance Numérique et Sécurité – ESIEA

Suite à la publication de nos résultats préliminaires sur le réseau TOR, le laboratoire CVO a été contacté par un utilisateur du projet node-Tor (https://github.com/Ayms/node-Tor) qui s’étonnait de voir son nœud parmi les bridges que nous avions extraits. Cet utilisateur a tenté de monter un nœud TOR à l’aide de ce projet. Après avoir échangé avec cette personne, nous nous sommes aperçus d’un bon nombre d’incohérences dans le déploiement du nœud. Pour certaines raisons, le nœud a été configuré pour ne pas s’étendre (il est donc seulement présent à des fins de recherche et de tests).

Tout d’abord, nous avons été choqués lorsque cette personne nous a raconté comment elle a pu s’intégrer sur le réseau TOR sans avoir les codes officiels. Les codes de ce projet ne font que 400 à 500 lignes tandis que le code source de TOR fait lui, plusieurs dizaines de milliers de lignes. Avec si peu de lignes, on est en droit de se demander où sont toutes les sécurités mises en place dans le protocole TOR. De plus, il a suffi à cette personne de simples échanges par mail avec la Fondation TOR pour pouvoir s’intégrer au réseau. La Fondation TOR a donc l’air d’accepter n’importe quel code, ressemblant de plus ou moins loin aux codes officiels.

La condition pour intégrer le réseau TOR était d’enregistrer le nœud. Le nœud allait donc s’enregistrer sur différentes « Authority » :
– 131.188.40.189:80 -> Gabelmoo – Toujours actif
– 194.109.206.212:80 -> Dizum – Toujours actif
– 82.94.251.203:80 -> Tonga (Bridge Authority) – Plus actif
– 212.112.245.170:80 -> Ancienne adresse IP de Gabelmoo
– 86.59.21.38:80 -> Tor26 – Toujours actif
– 193.23.244.244:80 -> Danneberg – Toujours actif
– 171.25.193.9:443 -> Maatuska – Toujours actif
– 128.31.0.34:9131 -> Moria1 – Toujours actif
– 76.73.17.194:9030 -> Turtles – Plus actif
– 208.83.223.34:443 -> Urras – Plus actif

Son nœud c’est donc retrouvé bridge contre son gré, car on lui a demandé de s’enregistrer sur le Bridge Authority. La personne a regardé les récents logs de son nœud et là, nous avons été surpris des résultats :

statusCode:  194.109.206.212 80 400
statusCode:  131.188.40.189 80 400
statusCode:  193.23.244.244 80 400
statusCode:  86.59.21.38 80 400
statusCode:  171.25.193.9 443 400
statusCode:  128.31.0.34 9131 400
statusCode:  208.83.223.34 443 200

On remarque que sa liste d’autorité n’a pas été mise à jour depuis un certain temps, mais certains éléments sont perturbants. Tout d’abord, l’adresse ip 128.31.0.34:9131 qui est Moria1, la plus vieille autorité puisqu’elle est située au MIT et est gérée par Roger Dingledine. Il en est de même pour certaines autres adresses qui devraient enregistrer son nœud, mais qui ne le font plus !! La dernière adresse IP est plus embêtante, car celle-là accepte toujours l’enregistrement du nœud. Cette adresse IP est l’adresse IP de l’ancienne autorité Urras (qui n’est plus autorité depuis un certain temps). Cette autorité appartient à Jacob Appelbaum qui a été évincé du projet en 2015. Cela veut donc dire que ce nœud continue de faire son travail d’autorité alors qu’elle n’a plus ce statut (voir le fichier config.c de la dernière version de TOR permet de le confirmer).

On constate donc que certaines manipulations de la fondation TOR sont étranges. Lorsque l’on demande aux utilisateurs d’avoir une confiance aveugle au code source leur permettant l’accès au réseau TOR, il serait donc logique de ne pas accepter d’autres codes source ou bien d’en informer les différents utilisateurs. De plus, d’après nos échanges avec la personne ayant mis en place le nœud « customisé », nous avons eu l’impression que la fondation ne vérifie pas le nœud de façon régulière. Ce qui ressort ici est la facilité d’ajouter des nœuds avec un code source non officiel avec pour seule contrainte d’avoir un échange avec les personnes de la fondation TOR. Une fois le nœud accepté, rien ne nous dit que les codes resteront inchangés. Si la personne est malveillante, elle peut très bien décider d’autoriser que l’on étende les chemins passant par son nœud, elle peut décider de logger tout le trafic, etc. On peut donc se demander si le réseau est encore bien intègre quand on voit la facilité d’ajouter un nœud avec un code source non officiel de TOR.

Postscriptum : depuis la publication de nos résultats, il se passe des choses sur le réseau TOR. L’extraction des bridges n’a pas dû plaire à la fondation TOR (ou alors il y a un problème) : le fichier détails a été modifié plusieurs fois et de manière conséquente. En ce qui nous concerne, cela ne change rien, la procédure d’extraction reste toujours valide.

Partager :

Dans la même catégorie

Publié le : 02/04/2024

Comment une cyberassurance peut renforcer le niveau de sécurité de votre entreprise

Découvrir
Publié le : 28/03/2024

7 bonnes pratiques que les petites entreprises peuvent suivre pour se protéger contre les cyberattaques 

Découvrir
Publié le : 26/03/2024

La gestion post-crise : évaluer, apprendre et améliorer le PRA

Découvrir
error: Le contenu est protégé !!