A TOR… ou à raison

Vous avez peut être vu passer le vent de panique qui souffle sur TOR depuis qu’Eric Filiol, directeur du laboratoire de recherche en cryptologie et virologie de l’ESIEA, a annoncé le fruit du travail de son équipe sur le réseau « onion routé », venant ébranler la confiance dans l’anonymisation offerte par TOR. Rappelons que dans certains pays, moins cléments que le notre concernant la liberté d’expression (si ça existe!), l’anonymat est la seule manière d’exprimer des points de vues politiques, culturels, religieux ou artistiques…

Que s’est il donc passé ? L’affaire est très bien expliquée sur le site ITEspresso.

Première surprise, Eric Filiol annonce 181 nodes cachés découverts grâce à un algo maison, cartographiant le réseau TOR sur une Google Map :

« Il existe des noeuds cachés non répertoriés dans le code source. Seule la fondation TOR connaît ces routeurs cachés. On a développé un algorithme compliqué pour les identifier. On en a écrit une librairie (181 TOR bridges découverts à ce jour). C’est une base non publique mais il est illusoire de penser que ce niveau de sécurité n’est pas accessible (…) Le code source sera mis à disposition mi-novembre. »

On apprend également que sur les plus de 9000 nodes, environ 1500, seraient vulnérables à des escalations de privilèges.

Le routage complexe de TOR a lui été semble t-il mis en défaut par les chercheurs, ce par le biais d’un virus agissant sur la mémoire et provocant des embouteillages sur certains noeuds. Ainsi il devient possible selon le chercheur d’orienter les flux sur des nodes… en somme, de la prédiction de routage…on sent bien ce qui va venir juste après.

« J’infecte une partie du réseau TOR, je peux contrôler les flux qui passent. »

Il devient par ce biais, sans avoir besoin de saturer le réseau, de créer des micro-congestions afin de faciliter le packet sniffing.

Mais il y a plus fâcheux : la couche de chiffrement, assurant la secret dans le transport des données, toujours selon Eric Filiol, ne serait pas au top :

« La cryptographie implantée dans TOR est mauvaise…On a réduit considérablement le degré de deux des trois couches de chiffrement. »

Le directeur de recherche du laboratoire indique également que la fondation n’a pas très bien réagi à l’annonce de ces travaux :

« La fondation a fait une demande de manière agressive pour me faire comprendre en évoquant la dimension de ‘responsible disclosure’. Mais tout ce qui m’importe, c’est de savoir si c’est légal ou pas » 

Et enfonce le clou :

« On ne peut pas imaginer que la fondation derrière TOR ne soit pas consciente de ses failles » 

Cette dernière accusation semble elle, plus grave et surtout moins objective car comme le souligne ITEspresso, elle sous-entend que la finalité du réseau TOR, qui a obtenu le soutien financier du gouvernement américain ne serait pas si limpide que cela. Et ça pour tout vous dire, je peine à y croire. Quoi qu’il en soit, en attendant la conférence qui se tiendra à la fin du mois à Sao Paulo au Brésil où l’équipe de chercheurs devrait dévoiler ses travaux, mon sentiment est que :

1° Eric Filiol n’est pas du genre à bluffer

2° Les vecteurs d’attaques expliqués sont tout à fait crédibles

3° Si la sécurité est une affaire de confiance, alors, le réseau TOR est aujourd’hui ébranlé.

 

 

Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

Le kit de survie numérique du Journaliste à Pekin pour les Jeux Olympiques

picture from daylife.com

Et vous voilà dans un tiers monde numérique où la censure de site web est monnaie courante, avec un dispositif impressionnant de 30 000 « web cops » vous voilà espionnés, le gouvernement chinois vérifie que vous ne soyez pas trop informé de ce qui se passe au niveau des droits de l’homme dans le monde ou des manifestations pro-tibétaines.

Vous trouvez cette censure stupide et vous souhaitez tout de même accéder à des sites à caractère informatif que la chine censure ? Voici quelques petits outils qui devraient vous être utiles pour être en mesure de contourner cette stupide censure. Attention, les méthodes présentées ici ne sont pas infaillibles mais devraient amplement faire l’affaire pour échapper au contrôle des autorités chinoises

Tout d’abord l’arme ultime  :

AnonymOS : elle se présente sous forme de Live cd, vous la gravez, et vous bootez dans un environnement sécurisé avec tout l’arsenal nécessaire pour avoir la paix sans trop laisser de trace. Basée sur l’excellente OpenBSD et vous offre nativement l’encryption de vos surf et met en pratiques des mécanismes d’anonymisation de vos surfs relativement efficaces après de petites configurations. Télécharger AnonymOS

Tor : Tor est un projet logiciel qui aide à la défense contre l’analyse de trafic, une forme de surveillance de réseau qui menace les libertés individuelles et l’intimité, les activités commerciales et relationnelles, et la sécurité d’état. Tor vous protège en faisant rebondir vos communications à l’intérieur d’un réseau distribué de relais maintenus par des volontaires partout dans le monde : il empêche qu’une tierce personne scrutant votre connexion internet connaisse les sites que vous avez visité, et empêche les sites que vous avez visité de connaître votre position géographique. Tor fonctionne avec beaucoup de nos applications existantes, comme les navigateurs web, les clients de messagerie instantanée, les connexions à distance et tout un nombre d’applications se basant sur le protocole TCP. (…)

Il y a trois choses fondamentales à connaître avant de commencer.

  1. Tor ne vous protège pas si vous ne l’utilisez pas correctement. Lisez notre liste d’avertissements et assurez vous de suivre avec attention les instructions pour votre platforme.
  2. Même si vous configurez et utilisez Tor correctement, il y a encore des attaques potentielles qui peuvent compromettre la capacité de Tor à vous protéger.
  3. Aucun système anonyme n’est parfait à ce jour, et Tor ne fait pas exception : vous ne devriez pas vous fier intégralement au réseau Tor si vous avez besoin d’une protection anonyme totale.

Firefox et ses extensions magiques 🙂

Un bon navigateur, c’est vraiment la base si vous voulez avoir la paix, exit donc internet Explorer, il est temps pour vous de passer à Firefox, qui offre une collection de pluggins fort intéressante et une sécurité accrue.

Torbutton est comme son nom l’indique un boutoin d’activation de tor pour Firefox, il offre donc à portée de clique le passage à un mode de surf crypté et anonymisé pour peu que votre configuration soit correcte.

Cryptez vos mails !

Thunderbird / Enigmail : là encore si vous ne souhaitez pas partager vos emails avec les 30 000 super flics de l’internet chinois, voici le duo gagnant. Thunderbird est un client mail open source très simple d’utilisation et très complet, grâce à son extension Enigmail, vous serez en mesure de crypter vos emails grâce à OpenPGP.

Bon surf 😉