Des serveurs Apache mal configurés peuvent faire fuiter des informations
Des serveurs Apache mal configurés peuvent faire fuiter des informations
sur le trafic Tor
Le web profond, cette partie d'internet non indexée par des moteurs de recherche classiques généralistes, est souvent accessible via des services comme Tor ou I2P. Une portion d'internet souvent utilisée par des personnes désireuses de s'exprimer sous couvert de l'anonymat.
Mais, comme toutes portions du web, les sites en oignons auxquels des individus accèdent ont besoin d'être hébergés sur un serveur web. S'il y a plusieurs méthodes pour le faire, l'une des plus répandues consiste à se servir d'un serveur Apache Web en plus d'un daemon Tor pour gérer la partie anonyme du trafic serveur.
Toutefois, un paramètre par défaut dans les serveurs Apache Web, s'il n'est pas modifié, pourrait permettre de faire fuiter des informations sur le traffic serveur ainsi que sur le serveur lui-même.
« Si vous utilisez le service d'anonymisation Tor pour un serveur Apache, assurez-vous de désactiver mod_status avec la commande $ a2dismod status. Sur la plupart des distributions, Apache est livré avec une fonctionnalité pratique appelée mod_status qui est activée. C'est une fonctionnalité située à /server-status qui permet d'afficher quelques statistiques comme la disponibilité, l'utilisation des ressources, le trafic total, les hôtes virtuels activés et les requêtes actives HTTP. Pour des raisons de sécurité, elle est accessible uniquement depuis localhost par défaut.
Cela semble assez raisonnable, jusqu'à ce que vous vous rendiez compte que le daemon Tor tourne en localhost. Par conséquent, tout service caché utilisant la configuration par défaut d'Apache a sa page /server-status exposée au monde. Que peut faire un acteur malveillant dans ce cas ? Espionner des demandes potentiellement sensibles, déduire approximativement la longitude du serveur si le fuseau horaire est défini, voire déterminer l'adresse IP si un hôte virtuel clearnet est présent ».
Il ne s'agit pas là d'un nouveau problème dans la mesure où il a déjà été signalé auparavant au Projet Tor. Mais suite au tweet d'Alec Muffet – un ingénieur logiciel Facebook connu dans la communauté des chercheurs en sécurité – qui pointait vers le blog d'un étudiant en sciences informatiques expliquant le problème et ses ramifications, le problème a été remis une fois de plus à l'ordre du jour.
« J'ai découvert de nombreuses expositions de ce type durant les six derniers mois, et je les ai signalées partout où un contact était fourni. Ce ne sont pas seulement les pages statiques ou de petits sites personnels qui en sont affectés. Même des sites où la vie privée des utilisateurs est un impératif montrent de la négligence à cet égard. Vers la fin de 2015, j'ai trouvé un moteur de recherche populaire .onion qui n'avait pas désactivé ce module d'état. Comme vous pouvez l'imaginer, le résultat n'était pas des plus beaux ».
Il recommande de vérifier si votre mod_status est désactivé en vous rendant à l'adresse http://your.onion/server-status : « si vous avez une réponse autre que 404 et 403, ouvrez un shell sur votre serveur et exécutez $ sudo a2dismod status ».
Source : blog Wireflaw
Et vous ?
Un consultant remet en cause la sécurité de Tor et avertit les utilisateurs que les données qui sortent du réseau peuvent être interceptées
Répondre avec citation
Partager