Comment protéger la confidentialité des données sur le réseau Tor

onion. costanzimarco/Pixabay

Tor, l’un des outils les plus utilisés pour surfer anonymement sur Internet, est-il vraiment sûr ? Des documents rendus publics lors du procès Silk Road 2.0 révèlent qu’un « institut de recherche universitaire » a fourni des informations portant atteinte à la confidentialité des données sur Tor, ce qui a permis d’identifier l’administrateur du marché noir numérique.

Silk Road et son successeur, Silk Road 2.0, étaient accessibles à travers des services cachés (« Hidden Services ») Tor, des sites anonymes uniquement accessibles à Tor, un réseau qui protège l’identité de leurs administrateurs et de leurs utilisateurs.

Cette technologie est également utilisée pour préserver l’anonymat des internautes qui consultent d’autres sites – notamment les journalistes enquêtant sur les activités de la mafia –, des moteurs de recherche et des réseaux sociaux. La confidentialité de Tor est donc cruciale pour un grand nombre de personnes.

Comment fonctionne la protection intégrée de Tor

Près de 97 % du trafic de Tor provient d’internautes qui l’utilisent pour surfer de façon anonyme sur des sites accessibles par Internet. Pour ce faire, ils suivent un chemin qui transite par trois nœuds choisis de manière aléatoire : le premier autorise l’accès au réseau, le(s) suivant(s) joue(nt) un rôle intermédiaire, et le dernier envoie les communications hors du réseau Tor. Le premier nœud connaît l’adresse de l’utilisateur, le dernier, celle du site auquel il accède, mais aucun ne dispose des deux informations.

Les 3 % restants concernent les services cachés (ces sites utilisent les domaines en «  .onion » conservés dans l’annuaire des services cachés). L’utilisateur demande d’abord les coordonnées du site, puis chacun de leur côté, le site et l’utilisateur vont créer un chemin en trois étapes à travers le réseau Tor jusqu’à un point de rendez-vous, permettant aux deux parties de communiquer.

Un administrateur malveillant qui contrôlerait simultanément le premier et le dernier nœud peut théoriquement identifier l’internaute à partir du moment où le lien se fait entre les points d’entrée et de sortie. Pour prévenir ce cas de figure, Tor dispose, depuis son origine, d’un grand nombre de relais implantés aux quatre coins de la planète. De même, la sélection de ces relais se fait de manière à éviter les nœuds trop étroitement liés, afin de préserver au mieux l’anonymat de l’utilisateur.

Le fonctionnement de Tor. Tor Project/EFF, CC BY

L’utilisation de ce système de « confiance décentralisée » assure la sécurité du réseau même si l’un des relais est compromis (cela dit, la mise en péril d’une grande partie du réseau reste problématique). Il présente en outre l’avantage de protéger aussi bien les utilisateurs que les administrateurs. Étant donné que ces derniers ne peuvent compromettre l’anonymat des internautes – puisqu’ils ne disposent pas des éléments nécessaires –, ils risquent moins d’être pris pour cible par des hackers.

Un oignon que l’on pèle

Avec environ deux millions d’utilisateurs quotidiens, Tor est de loin l’outil de protection des communications le plus utilisé. Considéré comme l’un des plus sûrs, il fait l’objet de nombreuses tentatives d’intrusion visant à démontrer l’existence de vulnérabilités potentielles. La plupart essaient d’établir un lien entre les trafics entrant et sortant, mais aussi de trouver le moyen d’augmenter les chances de contrôler le premier et le dernier nœud lors d’une connexion.

Lorsqu’il a été dévoilé, le programme 2014 de la conférence BlackHat annonçait la tenue d’une réunion au cours de laquelle une [équipe de chercheurs du CERT (un institut de recherche de l’université Carnegie-Mellon) expliquerait comment mettre Tor en danger. Mais la conférence a été annulée et, curieusement, les chercheurs n’ont pas communiqué au « Projet Tor » le détail de leurs découvertes, les empêchant ainsi de remédier à cette faille.

Cette décision est d’autant plus étrange que le CERT, en tant que coordinateur mondial, est chargé de veiller à ce que les vendeurs de logiciels soient prévenus de toute vulnérabilité produit, afin d’empêcher que les criminels ne puissent l’exploiter. Les chercheurs ont néanmoins fourni suffisamment d’indices aux développeurs de Tor pour leur permettre d’analyser ce qui s’était passé. Ils se sont ainsi aperçus que les internautes du réseau étaient bien victimes d’une telle attaque.

L’attaque d’une architecture à nœuds multiples

L’attaque consistait à pirater le trafic des internautes au moment où ceux-ci accédaient à l’annuaire des services cachés pour y chercher une adresse .onion, ou celui du service caché quand il envoyait l’information à l’annuaire.

L’adresse .onion est visible au moment où le trafic accède au réseau pour se connecter à l’annuaire des services cachés. L’altération de ce trafic n’interrompt pas la demande mais elle dépose un marqueur, différent pour chaque adresse, qui sera détectée à la sortie du réseau. Si le premier et le dernier nœud choisis par le logiciel de Tor pour communiquer avec l’annuaire sont identifiés par le hacker, l’adresse .onion peut être reliée à l’internaute, ou à l’ordinateur qui héberge le service caché.

Cette technique n’est pas fiable, dans la mesure où l’assaillant doit contrôler le premier et le dernier relais, mais elle finit toujours par réussir après un certain temps. L’attaque prévoyait d’ailleurs d’enregistrer une grande partie des nouveaux nœuds permettant d’accéder au réseau Tor afin de faciliter le contrôle du premier et du dernier nœud. Étant donné que les services cachés sont toujours disponibles, il suffit de se connecter à la cible de façon répétée pour que l’attaque aboutisse. Cette attaque par force brute ne fonctionnant que sur les services cachés, il vaut mieux utiliser Tor pour accéder de façon anonyme aux sites visibles.

Une leçon pour l’avenir

L’université de Carnegie-Mellon s’est refusée à toute déclaration quant à la participation de ses chercheurs à une quelconque attaque ou sur d’éventuels contacts avec le FBI. Il n’en reste pas moins que le timing et la nature de cette attaque ont conduit certaines personnes à s’interroger sur l’aide qu’ils ont éventuellement fournie au FBI contre Silk Road 2.0. Peut-être ces chercheurs étaient-ils légalement obligés de collaborer avec le FBI, bien que l’Agence fédérale nie leur avoir versé la somme d’un million de dollars. L’université s’est contentée d’indiquer qu’elle « appliquait la législation en vigueur ».

Bien que cette vulnérabilité ait été corrigée en juillet 2014, la confidentialité des services cachés de Tor est un problème intrinsèquement complexe.

Cette affaire soulève également des questions relatives à l’éthique de la recherche, et aux mesures de contrôle de la surveillance effectuée par les agences gouvernementales. Le CERT, en tant qu’institut de recherche indépendant financé par le gouvernement américain, est-il soumis aux mêmes critères d’évaluation des pratiques que les chercheurs universitaires, par exemple ? L’attaque est allée bien au-delà de la simple démonstration de faisabilité : au lieu de prendre des mesures pour protéger les internautes qui ne s’étaient rendus coupables d’aucune infraction, elle a potentiellement révélé l’identité des utilisateurs et administrateurs de services cachés à l’époque.

La recherche, lorsqu’elle est menée de façon éthique, est indispensable à l’amélioration de la confidentialité sur Internet. Le « projet Tor » a d’ailleurs toujours soutenu les chercheurs, auxquels elle accorde le bénéfice du doute quand des tests montrent une activité inhabituelle sur le réseau. Mais au vu de ces événements, tout comportement suspect pourrait désormais être bloqué.

Afin d’éviter les situations à risque, il est important de trouver le moyen de valider les résultats expérimentaux sans impliquer de vraies personnes ou, lorsque ce n’est pas possible, de mettre en place des procédures mieux adaptées ) afin de protéger les internautes.

Traduit par Bamiyan Shiff/Fast for Word

This article was originally published in English