Le réseau Tor, connu comme outil d’anonymat pour ceux qui en ont besoin, a annoncé hier soir une faille dans son réseau. Selon le site officiel, cette brèche permettait de briser une partie de l’anonymat, et 115 faux relais étaient utilisés pour obtenir des données personnelles.
Des serveurs relais malveillants de janvier au 4 juillet
Le réseau Tor est utilisé en général par tous ceux qui ont des besoins d’anonymat lorsqu’ils communiquent par Internet. Le réseau a largement gagné en visibilité depuis le début de l’affaire Snowden, l’outil ayant été recommandé plusieurs fois pour se mettre à l’abri des puissants outils de collecte de la NSA et des autres agences de renseignement. Et ce ne sont pas les avertissements de quelques-uns qui ont changé la donne.
Mais dans un communiqué publié hier soir, l’équipe en charge de Tor informe ses utilisateurs qu’un groupe de faux relais malveillants a été déconnecté le 4 juillet. Ils avaient rejoint le réseau en janvier dernier et le message est simple : tous ceux qui ont ouvert ou utilisé des services cachés entre février et le 4 juillet doivent présumer qu’ils ont été touchés. Mais comme le précise le communiqué, il est impossible de savoir dans quelle mesure ils l’ont été.
Impossible pour l'instant de connaître l'ampleur des dégâts
Les pirates à l’origine de ces relais malveillants n’ont probablement pas pu casser l’intégralité de l’anonymat des transmissions, mais certaines informations ont techniquement pu être obtenues. Il était ainsi possible de savoir quels descripteurs de services cachés étaient utilisés, qui les avait publiés et probablement où ils étaient situés. Les détails sont flous, mais d’après l’équipe de Tor, le trafic au niveau des applications n’a a priori pas été touché et les pirates ne devraient pas savoir quelles pages ont été chargées par un utilisateur particulier.
Cependant, cette attaque pourrait tout à fait n’être qu’un maillon dans une chaine plus grande. Selon le communiqué, la faille de sécurité permet en effet une modification des en-têtes du protocole de communication. Or, rien n’empêche techniquement ces en-têtes d’avoir été utilisés par d’autres pirates pour briser l’anonymat.
Des correctifs à installer rapidement
Les réactions de l’équipe n’ont évidemment pas tardé. Une fois découverts, les 115 faux relais ont été supprimés du réseau. D’autre part, de nouvelles versions du client ont été publiées, la 0.2.4.23 classique et la 0.2.5.6-alpha. En parallèle de la correction de cette importante faille de sécurité, tous ceux qui fournissent des services cachés ont reçu un avertissement les enjoignant à en changer les localisations.
The Hacker News, de son côté, se demande si la faille dans le réseau Tor ne pourrait pas être celle qui devait initialement être présentée par Alexander Volynkin et Michael McCord, de l’université Carnegie Mellon, durant la conférence Black Hat. « Initialement », car elle a en fait été annulée, comme l’indiquait un article de The Guardian : le propre Software Engineering Institute de l’université n’a pas accepté que les travaux soient rendus publics.
Quant à l’équipe de Tor, elle se pose elle aussi cette question, ainsi que d’autres, qui restent en suspens : tous les faux relais ont-ils été trouvés ? L’ampleur de l’attaque a-t-elle vraiment été cernée ? Quelles sont les données qui ont été gardées par les pirates ? Que vont-ils en faire ? Sachez également que le ministère russe de l’Intérieur a ouvert un concours, qui récompensera par environ 84 000 euros (4 millions de roubles) le premier qui fournira une solution fiable capable de déchiffrer les données circulant sur Tor.
Enfin, rappelons qu’il s’agit de la deuxième fois en peu de temps qu’un produit connu pour sa sécurité se voit affecté par une faille remettant en cause le principe même de son existence. Il y a tout juste une semaine, nous relations en effet comment la distribution Tails Linux pouvait faillir à sa mission à cause de plusieurs failles de sécurité trouvées par une entreprise. À ceci près que cette dernière a promis de travailler directement avec les développeurs de Tails Linux pour colmater les brèches.
