On sait déjà que la NSA s’intéressait au réseau Tor pour y récupérer des échanges d’informations de cibles d’intérêt. Selon des informations publiées par le site allemand Tagesschau, l’agence américaine marquerait en fait comme « extrémiste » potentiel de nombreuses personnes s’intéressant au réseau anonyme.
La surveillance de Tor n'est pas une nouveauté
Tor revient souvent dans les conversations depuis les premiers scandales liés à la surveillance poussée de la NSA sur l’ensemble de la planète. Le réseau, organisé en couches d’oignon, fait globalement rebondir les requêtes réseau jusqu’à ce que l’adresse IP d’origine ne soit plus détectable. Tout du moins en théorie.
En mai, l’expert en sécurité Andy Malone avait déjà longuement expliqué que la sécurité de Tor restait toute relative. Il indiquait que des agences telles que la NSA et son équivalent anglais, le GCHQ, utilisaient les failles de sécurité des applications et extensions tierces utilisées pour accéder au réseau. Il ajoutait : « La NSA et le GCHQ surveillent déjà des centaines de relais Tor et nœuds de sortie pour chercher des moyens de briser le réseau ».
Le site officiel et les serveurs répertoires, objets d'une attention particulière
Mais selon le site allemand Tagesschau, la NSA va beaucoup plus loin. Lena Kampf, Jacob Appelbaum et John Goetz indiquent avoir analysé une partie du code source de XKeyscore, un composant clé pour l’agence puisqu’il s’agit d’un gigantesque moteur de recherche. Or, ce programme surveillerait de près les connexions réalisées au site officiel de Tor. Si vous vous êtes intéressé de près au réseau, même sans l’installer, la NSA vous a peut-être marqué comme « extrémiste » potentiel. Tous les internautes sont concernés à l’exception de ceux provenant des Five Eyes : États-Unis, Canada, Royaume-Uni, Australie et Nouvelle-Zélande. Le constat est le même pour Tails Linux, une distribution que l’on exécute depuis un DVD ou une clé USB, et conçue pour préserver l’anonymat de l’utilisateur, via notamment une utilisation forcée de Tor.
Mais encore plus que le site officiel, ce sont les serveurs racines de Tor qui sont les plus observés. Ces « directory servers », littéralement des « serveurs répertoires », ont pour objectif de contenir la liste de tous les nœuds de confiance dans le réseau, qui sont au nombre de 5 000 environ. Ces serveurs, au nombre de neuf selon Tagesschau, font l’objet d’attentions particulières, surtout en Allemagne.
L’un des serveurs est géré par le Chaos Computer Club, un groupe allemand de hackers, tandis qu’un autre est maintenu par Sebastian Hahn, étudiant en informatique. Interrogé par Tagesschau, ce dernier s’est dit « choqué » par ces révélations. Comme il l’explique, accéder à un de ces serveurs revient à surveiller « les données de connexion de millions de personnes qui y sont inscrites chaque jour ».
Connexions SSL, emails, tout est bon
L’étude du code source a révélé d’autres points intéressants, notamment la séparation entre tout ce qui touche aux Five Eyes et le reste du monde. Ainsi, trois serveurs répertoires sont situés aux États-Unis. Ils disposent d’une classification spéciale vis-à-vis des autres qu’on peut trouver en Allemagne, en Autriche ou encore aux Pays-Bas. Par ailleurs, Xkeyscore peut surveiller aussi bien les connexions (SSL) réalisées vers bridges.torproject.org que les emails envoyés à l’adresse bridges@torproject.org, autrement dit les deux méthodes pour récupérer la liste des routeurs du réseau Tor. Pour les emails, le programme semble d’ailleurs capable de lire l’ensemble du contenu, et pas uniquement les métadonnées.
Bien entendu, ceux qui suivent depuis plus d’un an la longue série de révélations d’Edward Snowden ne seront pas étonnés de cette surveillance particulière du réseau Tor. On peut cependant se demander comment une partie du code Source de Xkeyscore a pu être obtenue. Snowden est en effet connu pour les documents dérobés à la NSA, mais le code source d’un programme de surveillance est un tout autre type de matériel. Plusieurs experts ont anonymement indiqué à Boing Boing qu’il pourrait s’agir d’une autre source. Pour le site, l’exemple de Snowden aurait très bien pu inspirer l’un de ses anciens collègues de travail.
