Discussion :

[Stéphane le calme]

Des chercheurs découvrent une centaine de nœuds sur le réseau Tor utilisés pour espionner les services cachés,
le projet envisage de prendre rapidement des mesures

Des chercheurs ont découvert une centaine de nœuds sur le réseau Tor, précisément des Hidden Services Directories (HSDirs), qui espionnaient les services qu’ils hébergeaient et, dans certains cas, les opérateurs étaient activement utilisés pour utiliser les données collectées afin d’attaquer ces services. Les Hidden Services Directories sont des éléments cruciaux dans les opérations de masquage de l’adresse IP réelle de l’utilisateur sur le réseau étant donné que ce sont des serveurs qui reçoivent le trafic et redirigent les utilisateurs vers des services cachés.

Il faut rappeler que Tor est un réseau constitué de nœuds et de relais qui masquent le trafic afin de rendre plus difficile encore le pistage en ligne. Un réseau qui est donc idéal pour les personnes désirant garder leur anonymat en ligne.

La découverte de ces nœuds au comportement malveillant a été faite suite à une étude conjointe du doctorant Amirali Sanatinia et de Guevara Noubir, professeur au College of Computer and Information Science à la Northeastern University. La paire de chercheurs a prévu de présenter les résultats de leurs recherches la semaine prochaine durant la conférence DEF CON. Toutefois, ils ont vaguement évoqué ce dont il est question dans leur livre blanc intitulé « HOnions: Towards Detection and Identification of Misbehaving Tor HSDirs ».

Noubir y indique notamment que « la sécurité et l’anonymat de Tor sont basés sur la supposition que la majeure partie de ses relais sont honnêtes et ne se conduisent de façon inappropriée. Le caractère privé des services cachés en particulier est tributaire des opérations honnêtes effectuées par les Hidden Services Directories (HSDirs) ».

Dans le livre blanc, l’équipe de chercheur indique avoir développé un framework qu’ils ont appelé « Honey Onion » (HOnions) qui détecte si des Hidden Services Directories sont modifiés pour afficher un comportement différent et, en parcourant les requêtes faites par ces nœuds, les chercheurs ont été en mesure d’identifier ceux qui étaient malveillants.

Les chercheurs ont lancé l’exécution de leur framework à des jours différents entre le 12 février et le 24 avril. Ils ont trouvé 110 Hidden Services Directories malveillants, la plupart d’entre eux étant localisés aux États-Unis, en Allemagne, en France, En Angleterre et aux Pays-Bas.

Selon eux, il est possible que ces nœuds aient été exploités par des chercheurs, des forces de l’ordre ou même des organismes d’État qui essayent de bloquer l’accès à des services cachés.
« À cette étape, il est difficile de dire qui fait quoi », a indiqué Noubir. « Ce que nous avons pu observer est qu’il y a une diversité dans ce qu’ils faisaient. Certains attaquaient ces services cachés tandis que d’autres collectaient des informations sur eux », a-t-il continué.

Les chercheurs ont précisé que plus de 70 % des Hidden Services Directories malveillants qu’ils ont identifiés étaient hébergés sur des infrastructures cloud, ce qui rend encore plus difficile l’identification des propriétaires.

Les HOnions mettent en lumière les relais Tor avec des capacités modifiées pour cibler les services cachés. Le Projet Tor estime qu’il y a environ 3000 Hidden Services Directories sur son réseau. Ces répertoires contiennent des informations sur le relais qui est utilisé pour atteindre un domaine en .onion tout en conservant l’anonymat de l’utilisateur. Aussi, le développeur Sebastian Hann, un des représentants du projet, voudrait mitiger la portée de ce type d’attaque : « ce que l’attaque vous permet de faire est de connaître l’existence d’un service caché ». Et de poursuivre en disant que « cela ne signifie pas que l’identité de l’opérateur est révélée ou quelque chose de catastrophique dans ce genre ».

Pour Hann, l’attaque permet essentiellement d’espionner des métadonnées d’un service caché et de dire à l’attaquant que ce service existe et quand il est disponible. « Au même titre que l’adresse de votre maison est une métadonnée, l’adresse d’un service caché en est également une », a-t-il indiqué. Selon lui, « seule la donnée est importante pour permettre au réseau Tor de connecter les utilisateurs aux services cachés et non le contraire bien entendu ».

Toutefois, suite à cette étude, Tor compte bien prendre des mesures. Hann a indiqué que le projet a l’intention « de se servir d’un protocole de chiffrement plus fort et qui ne permet pas aux serveurs Tor impliqués dans les opérations régulières du réseau de voir ne serait-ce qu’une portion de métadonnées des services cachés ».

Source : papier blanc (au format PDF), documentation sur les services cachés (Tor)

Voir aussi :

Tor Browser 6.0 : le navigateur dédié au réseau anonyme Tor se renforce sur le plan sécurité et apporte un meilleur support pour la vidéo HTML5

Sécurité : Tor défie le FBI avec un système RNG jamais implémenté sur Internet pour renforcer le chiffrement des communications à travers le réseau

Le FBI conteste une décision de justice lui demandant de dévoiler le code source d'une faille de Tor exploitée pour traquer un suspect

[MikeRowSoft]

Si ils ont réussi à les identifier, je suppose qu'ils ont du retard sur l'exploitation de la méthode.
Ou que se sont que des suppositions.
L'ajout d'un tel nœud provoque une alarme, pourtant l'ajout d'un nouveau membre devrait suffire et "DHT" supposer disparaître.

[BufferBob]

(...) la semaine prochaine durant la conférence DEV CON.

DEFCON^*

d'habitude je n'aime pas trop cette expression chère aux complotistes mais pour le coup on est en droit de se demander "à qui profite le crime ?", j'ai pas le sentiment que monter un fake HSDir juste pour pousser quelques popups de viagra à une poignée d'internautes soit vraiment pertinent/rentable, en revanche ça doit intéresser plus d'un service de renseignements d'avoir ne serait-ce que des stats anonymes de consultations de tel ou tel hidden service Tor

[Bigb]

On se doutait bien qu'une partie du réseau TOR était gérée et maintenue par des gouvernements pour savoir ce qui transite... Maintenant on a la preuve. Il reste à Tor à relever le défi et prouver que le réseau peut être populaire ET sécurisé.

[Kapeutini]

c'est du Chinois pour moi, je dois relire et m'informer.

J'utilise Tor par curiosité et je n'aime pas l'idée que les états quel qu'ils soient puissent nous contrôler :-)
sur le web, oui je sais, il y a les terroristes, les bandits mais doit-on changer sa façon de vivre ?
Si oui ils ont gagné