Le projet Tor tente de garantir aux utilisateurs que le réseau est toujours en sécurité après qu’un récent rapport d’enquête a averti que les forces de l’ordre allemandes et d’autres pays travaillent ensemble pour désanonymiser les utilisateurs grâce à des attaques de synchronisation.
L’équipe derrière le navigateur Web spécialisé affirme que des protections adéquates sont en place pour ceux qui utilisent les dernières versions de ses outils, notant que l’analyse temporelle est une technique connue pour laquelle des mesures d’atténuation efficaces existent.
Casser « Boystown » à travers Tor
Tor est un outil de confidentialité et un navigateur Web qui anonymise votre identité en faisant rebondir votre trafic Internet sur plusieurs ordinateurs (nœuds) dans le monde entier, ce qui rend difficile la traçabilité de l’origine de votre trafic.
En raison de ses garanties de confidentialité, il est couramment utilisé par les militants et les journalistes pour communiquer avec leurs sources et contourner la censure dans les pays aux gouvernements oppressifs. Bien que le projet ait une longue liste d’utilisations légitimes, en raison de son anonymat, il est également utilisé par les cybercriminels pour héberger des places de marché illégales et échapper aux forces de l’ordre.
Un rapport d’enquête du portail allemand Panorama, soutenu par le Chaos Computer Club (CCC), indique que des documents judiciaires ont révélé que les forces de l’ordre utilisent des attaques d’analyse temporelle via un grand nombre de nœuds Tor qu’elles exploitaient pour identifier et arrêter les opérateurs de la plate-forme de maltraitance des enfants « Boystown. »
Une attaque de synchronisation Tor est une méthode utilisée pour désanonymiser les utilisateurs sans exploiter les failles du logiciel, mais plutôt en observant le moment où les données entrent et sortent du réseau.
Si l’attaquant contrôle certains des nœuds Tor ou surveille les points d’entrée et de sortie, il peut comparer le moment où les données entrent et sortent du réseau, et si elles correspondent, il peut retracer le trafic jusqu’à une personne en particulier.
« Les documents liés aux informations fournies suggèrent fortement que les forces de l’ordre ont répété et mené avec succès des attaques d’analyse temporelle contre des utilisateurs sélectionnés de gate pendant plusieurs années pour les désanonymiser », a déclaré Matthias Marx de CCC.
Panorama met en évidence le problème de plus en plus grave d’une grande partie des serveurs du réseau Tor contrôlés par un petit nombre d’entités, créant un environnement qui rend ces attaques temporelles plus réalisables.
Le rapport mentionne également que l’un des utilisateurs identifiés utilisait une version obsolète de Ricochet, une application de messagerie instantanée anonyme qui s’appuie sur le réseau Tor pour créer des canaux de communication privés.
Cette ancienne version de Ricochet, qui n’inclut pas les protections Vanguard, est vulnérable aux « attaques de découverte de garde », qui permettent de démasquer le nœud d’entrée de l’utilisateur (garde).
Réponse de Tor
Le projet Tor a exprimé sa frustration de ne pas avoir accès aux documents judiciaires qui leur permettraient d’analyser et de valider les hypothèses liées à la sécurité.
Cependant, l’organisation a tout de même publié une déclaration pour rassurer les utilisateurs en fonction des informations dont ils disposaient.
La déclaration du projet Tor souligne que les attaques décrites se sont produites entre 2019 et 2021, mais que le réseau a considérablement augmenté depuis lors, ce qui rend les attaques temporelles beaucoup plus difficiles à éliminer maintenant.
De plus, des travaux approfondis pour signaler et supprimer les mauvais relais ont eu lieu au cours des dernières années, et les efforts pour mettre un terme à la centralisation ont donné des résultats tangibles.
Concernant Ricochet, Tor note que la version utilisée par l’utilisateur désanonymisé a été retirée en juin 2022 et a été remplacée par la nouvelle génération Ricochet-Refresh, qui comprend des protections Vanguards-lite contre les attaques de détection de synchronisation et de garde.
Enfin, Tor reconnaît le problème pressant de la diversité des relais, appelant des bénévoles à l’aide et soulignant diverses initiatives qu’ils ont lancées récemment pour introduire plus de bande passante et de variété sur le réseau.