Discussion :

[Francis Walter]

Même le réseau Tor n'échapperait pas à la surveillance de la NSA et du GCHQ
selon un des principaux membres des communautés techniques de Microsoft

Les diverses révélations d'Edward Snowden ont boosté l'utilisation du réseau Tor sur Internet. En effet, Tor (The oignon router) est un réseau qui permet de naviguer de manière sécurisée et anonyme. Ainsi, il permettrait de réduire de façon considérable les risques d'être espionné et de se faire voler des informations. Grâce à Snowden, le nombre d'utilisateurs au niveau mondial a augmenté d'environ 50 %, afin d'échapper à la surveillance de masse effectuée par la NSA et par son homologue de l'Angleterre, le GCHQ. Cependant, un Microsoft MVP du nom d'Andy Malone affirme que même avec l'utilisation du réseau Tor, les utilisateurs seraient toujours victimes d'espionnage de la part des agences gouvernementales.

« Il n'y a rien de réellement anonyme sur Internet. Si les pirates ou les organismes gouvernementaux vous veulent, ils vous obtiendront », dit-il. Il reconnaît néanmoins qu'il existe une bonne sécurité en utilisant le réseau Tor et qu'elle n'a jamais été rompue à ce jour. Cependant, les add-ons du réseau posséderaient des failles exploitables pouvant limiter le champ de sécurisation du réseau Tor. Pour rappel, l'anonymisation de la navigation par Tor consiste à faire un routage en oignon pour brouiller les données de l'utilisateur. Plus de 5 000 relais bénévoles sont utilisés à cet effet. Cela empêche l'identification de l'adresse IP réelle de l'utilisateur qui visite un site web donné. Selon Malone, le nombre d'utilisateurs serait passé à une moyenne de 60 000 à 80 000 utilisateurs par jour.

« Les failles de Tor sont dues à des applications tierces et add-ons, comme Flash. Si je faisais de la médecine légale sur vous et que je savais que vous êtes sur Tor, je ne me serais pas attaqué au réseau mais plutôt aux points faibles autour de lui », affirme t-il. Comme quoi, les utilisateurs devraient se méfier de l'utilisation des applications tierces et des add-ons sur le réseau Tor. La NSA et le GCHQ surveilleraient déjà certains relais du réseau et certains nœuds, afin de pouvoir trouver un moyen de briser sa sécurité. « Beaucoup de sites non indexés que vous voyez sur Tor ont aussi des pots de miel mis en place par la police pour surveiller et capturer les mauvaises personnes accédant à la substance noire », ajoute-il.

Jusque-là, Tor constituait une sorte d'échappatoire à la surveillance de masse des organismes gouvernementaux. Les internautes y trouvaient refuge car ils pouvaient naviguer en toute sécurité. Les déclarations d'Andy Malone laissent planer un doute sur l'utilisation de Tor et remettent sur le tapis la question de sécurité sur Internet. Existe-il vraiment un moyen de naviguer en toute sécurité sur Internet ? Telle est la question qui mériterait plus d'éclaircissements.

Source : The Inquirer

Et vous ?

Utilisez-vous le réseau Tor ?
Vous sentez-vous menacé(e) ?
Que pensez-vous des affirmations d'Andy Malone ?

[elssar]

Je pense que toute sécurité est relative. Pour le commun des mortels, ou même des pro, Tor, le cryptage et j'en passe sont suffisant. Et je dirais que c'est même suffisant pour la plupart des agences gouvernementales du monde.

Mais ici, on parle de la NSA. C'est la structure ayant le plus de mathématiciens/informaticiens au monde. C'est une machine de guerre à la pointe de la pointe.(Bon par contre pas si bien construite que ça, pour qu'un admin système "lambda" comme Snowden puisse avoir accès à autant d'info et surtout leurs documents ultra secrets).

L'année dernière j'avais discuté avec un pro de la sécurité réseau de chez cisco. Il m'avait dit, "De toute les façons c'est simple, tant que la NSA recrute des mathématiciens/informaticiens pour X système de cryptage, c'est qu'il l'ont pas encore cassé, une fois qu'il est cassé, le recrutement cesse, donc on peut en déduire ce qui est encore protégé ou non."

Je pense qu'à part faire comme les terroristes et donc ne plus se passer un seul message par technologie(que du bouche à oreille). Dès qu'on utilise un système électronique/informatique de communication, on est susceptible, qu'importe la complexité du système qu'on utilise, de se faire écouter.

Je pense que la vrais question que l'on doit se pauser. C'est est ce que oui ou non, les systèmes que nous utilisons, sont facilement contournables par la NSA ou difficilement.

Si Tor/cryptage permettent de se protéger de la collecte des données en masse, ça serait déjà un bon point. Car ça obligerait la NSA à consacrer du temps pour une personne ou un groupe spécifique, et donc à mettre du personnel sur notre dos. Dans ce cas là, on est noyé dans la masse des utilisateurs d'internet. Sauf si on s'amuse à mettre des mots comme "attentats, ben laden" à toutes nos phrases ou qu'on est une personne particulièrement importante .

[Voyvode]

Je pense que même l'utilisation d'une sécurité contournable par la NSA peut leur poser des problèmes si elle est utilisée à grande échelle : Surveiller quelqu'un a un cout (financier, humain et puissance de calcul) et il faut que ce cout augmente globalement pour que la surveillance généralisée devienne extrêmement onéreuse.

[acx01b]

Que dit cet article ?

Retrouver quelqu'un de faiblement actif sur Tor est presque impossible : vous êtes la nsa, vous espionnez le trafic de xxxIllegalxxx.onion (ça suppose que vous avez réussi à trouver où est physiquement xxxIllegalxxx.onion, ok), vous voyez que 1 fois par semaine MrbenLaden se connecte, et là soit vous contrôlez tout le traffic d'internet et vous attendez 20000 connexions de MrbenLaden pour faire des stats hyper compliquées qui vous donnent une bonne probabilité d'avoir trouvé MrbenLaden, sauf bien sûr si celui-ci utilise un réseau de proxy en plus de Tor dans ce cas ça peut être 20000000 connexions de MrbenLaden qui seront nécessaires,

Soit vous exploiter une faille sur flash player qui permet d'installer un trojan sur n'importe quelle machine via une vidéo, et voila votre trojan s'installe sur la machine de MrbenLaden et vous divulgue sa vraie IP (et ce que voit sa webcam aussi tant qu'à faire).

Par contre pour trouver où est silkroad.onion, c'est beaucoup plus facile vu que c'est un serveur avec 500000 connexions par jour.
Supposons que vous avez moyen d'éteindre n'importe quel FAI d'un pays de l'OTAN pendant 20ms, ben vous les éteignez successivement jusqu'à trouver à quel moment ça rallonge les temps de réponse de silkroad, et voila vous faites ça tant que nécessaire pour remonter la chaîne de proxy.

[coolspot]

La sécurité absolu n'existe pas c'est sur. Mais passer par Tor permet d'éviter l'espionnage automatique et peu couteux. Certe l'utilisation de Tor ne garanti pas l'absolu anonymat et sécurité mais pour outre-passer cette sécurité il faut y mettre les moyens. Chose impossible pour de l'automatisation de l'espionnage si la grande majorité des personnes crypter leurs échanges d"informations de bout en bout sur Internet.

De toute façon c'est le grand problème d'Internet il n'a ni été conçu pour être sécurisé et encore moins pour être anonyme. A la base Internet c'est fait pour échanger des information avec tout le monde en clair.

De toute façon si internet avait été conçu pour être sécurisé et anonyme des protocole comme http, smtp, ftp, pop etc... n'existerait pas et il n'y aurait que leur équivalent en xxxS

[Lucas8]

D'après ce que j'avais lu, Tor garantit (tant qu'il n'est pas cassé) l'anonymat, mais ne sécurise pas les données, qui continuent de circuler en clair sur le réseau, et sont donc à la merci de n'importe quel nœud. Tor doit être couplé avec d'autres technologies pour avoir un accès à la fois sécurisé et anonyme à internet. Et encore, il faut aussi se méfier de ce qui tourne sur son propre PC, et des informations qu'on transmet (même cryptées et anonyme) aux serveurs auxquels on accède.

[Zakhar]

Cet article (repris d'autres sources) est une affreux amalgame.

Il confond : TOR (le réseau)

et : TORBundle qui est un package contenant TOR + un navigateur (Firefox durci)

TOR en lui-même n'a pas de faille (connue).

Le Bundle oui, à l'évidence ! Ce ne sont pas des failles à proprement parler puisque le navigateur n'a pas été conçu pour ça à l'origine, c'est juste que le navigateur peut révéler votre "vraie" IP par bien des façons, notamment par des communications non TCP qui ne passent pas via TOR (UDP par ex., via JS, Flash, Java, ....)

Par contre si vous utilisez TOR en middlebox : http://www.howtoforge.com/how-to-set...he-tor-network, pas de problème (sauf des trucs vagues comme "corrélation de trafic").

Bref cet article ne fait qu'apporter de la confusion, c'est du fuzz savamment entretenu par les agences qui aimeraient mieux qu'on n'utilise pas TOR... et je croyais dev.com plus malin pour ne pas donner crédit à ce genre d'amalgame de désinformation.

D'après ce que j'avais lu, Tor garantit (tant qu'il n'est pas cassé) l'anonymat, mais ne sécurise pas les données, qui continuent de circuler en clair sur le réseau, et sont donc à la merci de n'importe quel nœud. Tor doit être couplé avec d'autres technologies pour avoir un accès à la fois sécurisé et anonyme à internet. Et encore, il faut aussi se méfier de ce qui tourne sur son propre PC, et des informations qu'on transmet (même cryptées et anonyme) aux serveurs auxquels on accède.

C'est tout à fait vrai :
- un noeud de sortie fait ce qu'il veut de tes données, donc le http (non https) vous soumet au risque d'un noeud de sortie malveillant. Conclusion, sous TOR il vaut mieux n'utiliser que du https, ou du http où on ne donne AUCUNE donnée personnelle/risquant de révéler son identité.
- les "agences" peuvent aussi prendre les informations "à la source", avant qu'elles ne quittent votre PC... c'est tellement plus simple pour eux !.. Conclusion, mettre TOR dans Windows revient effectivement à installer une porte blindée alors que vous avez laissé les fenêtres ouvertes... je vous laisse seuls juge de l'utilité !

[Mr_Exal]

« Les failles de Tor sont dues à des applications tierces et add-ons, comme Flash. Si je faisais la médecine légale sur vous et que je savais que vous êtes sur Tor, je ne me serais pas attaqué au réseau mais plutôt aux points faibles autour de lui » affirme t-il.

Alors déjà comme dit plus haut, gros amalgame entre le réseau Tor et TorBundle qui contient Firefox préconfiguré pour être utilisé avec le réseau Tor. Il faudra que le monsieur m'explique comment il installe et utilise un add-on sur un réseau

Maintenant, non il n'y a pas de failles dans TorBundle (enfin, si il y en a sûrement mais non imputables à Tor) et puis pour installer flash, java ou autre joyeuseté sur TorBundle et penser ne pas pouvoir être traçable il faut être sacrément naïf ou idiot (voire les deux).

[HelpmeMM]

quand on sait que Tor est subventionné a hauteur de 60% par le gouvernement américain , on peut aussi se poser des questions ...

[squizer]

D'après ce que j'avais lu, Tor garantit (tant qu'il n'est pas cassé) l'anonymat, mais ne sécurise pas les données, qui continuent de circuler en clair sur le réseau, et sont donc à la merci de n'importe quel nœud.

D'où cette hypothèse:
Si la NSA décide de créer 20'000 noeuds TOR (ce qui n'est même pas un problème de coût pour eux), on se retrouverait avec une gangrène de serveur espion au milieu du réseau TOR et une forte capacité de leur part à intercepter des messages.

Un expert TOR peut-il invalider cette hypothèse ?

[Saverok]

Il y a une grande confusion entre "sécurité", "anonymat" et "confidentialité"
Il s'agit là de 3 concepts bien distincts

La surveillance de la NSA ne remet pas en cause la sécurité d'Internet (sauf quand des failles sont spécialement créées pour cela)
La NSA enregistre tout, cas des codes, exploite des failles
Mais globalement, Internet reste au même niveau de sécurité avec ou sans surveillance de la NSA ==> La sécurité sur Internet est très faible d'où l’existence des firewall, antivirus, etc.

[Invité]

Si la NSA décide de créer 20'000 noeuds TOR (ce qui n'est même pas un problème de coût pour eux), on se retrouverait avec une gangrène de serveur espion au milieu du réseau TOR et une forte capacité de leur part à intercepter des messages.

La NSA a quelques routeurs dans le réseau TOR, c'est plus que certain, mais si elle décidait d'en déployer 20000, leur tâche n'en serait que plus compliquée... Ca reviendrait à augmenter de façon exponentielle le nombre de chemins physiques entre sources et destinations. En d'autres termes, ça réduirait leurs chances d'être Man-in-The-Middle pour un flux donné.

Maintenant, il faut bien comprendre qu'un routeur TOR ne connait que 3 informations lorsqu'il reçoit un paquet IP à router :
- l'adresse IP de son prédécesseur TOR,
- l'adresse IP de son successeur TOR (après décapsulation),
- les clés pour maintenir le tunnel encrypté avec ses voisins (sessions keys).

Le routeur TOR n'a aucune connaissance, ni de la source du message original, ni de sa destination finale, et encore moins du contenu du message, le paquet est routé selon le paradigme PHP (per hop behavior) : à chaque saut de routeur TOR, il y a décapsulation pour découvrir le successeur, et tout est encrypté avec les neighbors (c'est la multitude de liens p2p encryptés entre neighbors qui crée l'encryption "macroscopique" de bout-en-bout entre source et destination)... Au final, sniffer le traffic à l'intérieur du réseau TOR serait très compliqué à mettre en oeuvre : il faudrait être certain d'avoir sniffé tous les paquets, puis ensuite les décrypter et enfin reconstruire le message. Parce que le réseau de routeurs TOR est instable : changement de topologies dans l'Internet, un noeud TOR allumé, un autre éteint, etc. Le routage des paquets dans le réseau TOR s'appuyant sur l'établissement de circuits virtuels dynamiques pour contourner ces changements de topologie, la tâche de vouloir faire du sniffing/eavesdropping à l'intérieur du réseau serait colossale.

D'où l'intérêt dans la surveillance des entry/exit TOR relays : c'est le seul endroit où il y a du traffic non-encrypté (initialisation/teminaison des tunnels encryptés notamment) ou du traffic encrypté facilement reconnaissable. Ce sera d'autant plus préjudiciable si les entry/exit points se trouvent dans la même AS BGP, donc gérée par le même ISP... Avec la connivence de l'ISP, il sera alors possible de faire du "end-to-end correlation". Et là, les méchants peuvent déjà savoir qui parle avec qui

Steph

[surcouf1]

TOR en lui-même n'a pas de faille (connue).

Le Bundle oui, à l'évidence ! Ce ne sont pas des failles à proprement parler puisque le navigateur n'a pas été conçu pour ça à l'origine, c'est juste que le navigateur peut révéler votre "vraie" IP par bien des façons, notamment par des communications non TCP qui ne passent pas via TOR (UDP par ex., via JS, Flash, Java, ....)

Question bête d'un ignorant de TOR et TOR Bundle.

une personne ayant un ordi équipé d'une distribution GNU/Linux comme système d'exploitation + TOR, et qui veut bêtement regarder des vidéos sur youtube ou un autre site quelconque. Je crois que ces vidéos utilisent Flash, non ? ou Adobe Flash...
et il y a certainement des formulaires web qui utilisent JS ou Java, non ?

Dans ce cas, faudrait-il s'auto-censurer dans sa navigation internet dès qu'une page internet utilise des technologies "vulnérables" dans le sens où elles ne permettent pas la conservation de l'anonymat (adresse IP)?

[Invité]

Question bête d'un ignorant de TOR et TOR Bundle.

une personne ayant un ordi équipé d'une distribution GNU/Linux comme système d'exploitation + TOR, et qui veut bêtement regarder des vidéos sur youtube ou un autre site quelconque. Je crois que ces vidéos utilisent Flash, non ? ou Adobe Flash...
et il y a certainement des formulaires web qui utilisent JS ou Java, non ?

Dans ce cas, faudrait-il s'auto-censurer dans sa navigation internet dès qu'une page internet utilise des technologies "vulnérables" dans le sens où elles ne permettent pas la conservation de l'anonymat (adresse IP)?

Lorsqu'on télécharge le Tor Browser Bundle, il est bien rappelé que pour garder l'anonymat :
- on ne doit utiliser que le Tor Browser,
- on ne doit pas lancer de Torrents,
- on ne doit pas activer ou installer le moindre plugins,
- on ne doit surfer que sur des sites https,
- on ne doit pas ouvrir de documents téléchargés alors qu'on est toujours on-line,
- on doit utiliser autant que possible des "Tor bridges" (relais qui ne sont pas listés dans le répertoire principal de Tor, vos potes de boulot par exemple).

Aprs, oui, effectivement, si on utilise Tor pour mater des videos sur youtube, dire bonjour à ses potes sur facebook, télécharger des DVD ou faire une recherche sur Goggle, je ne vois pas trop l'intérêt

J'aurais remplacé le titre

"Même le réseau Tor n'échapperait pas à la surveillance de la NSA et du GCHQ"

par

"La NSA et le GCHQ surveillent les stupides internautes qui n'utilisent pas Tor de façon sécurisée"

Steph

[Cyrilange]

En un mot : Tails !

[Invité]

En un mot : Tails !

Je dirais même plus, tails sur usb bootable + Tor

Steph

[adrien239]

Il y a une grande confusion entre "sécurité", "anonymat" et "confidentialité"
Il s'agit là de 3 concepts bien distincts

La remarque me semble tout à fait justifiée et c'est ce que j'entendais souligner également...

Évidemment il n'est pas possible de lutter contre une armée de hackers qui veut vous pister

Finalement il serait ben de se replonger dans les techniques banales de l'espionnage et du contre espionnage pour diminuer certains risques d'exposition

Opter pour une technique très simple qui est la désinformation

Renvoyer de fausses informations sur son compte peut se révéler très précieux pour brouiller les pistes pour ceux qui en ont l'utilité

Une recherche sur Google permet de vérifier que sa véritable identité n'apparaisse nulle part sur le net même si l'on y est très actif n'est pas si difficile

Mais on peut se demander si 95% d'entre nous ne représente pas (notre ego devrait-il en souffrir) qu'une triple bulle aux yeux du monde.
Et la plupart d'entre nous sommes des fourmis insignifiantes

Si nous sommes commercialement pistés que sommes-nous réellement à part une bribe de statistique parmi d'autres

Tout pistage commercial n'est pas si mauvais au final
S'il me permet de recevoir des offres sur ce qui m'intéresse n'est pas inintéressant puisque je conserve en dernier lieu le choix (c'est sans doute la notion du moment voire de l'avenir cf les débats sur W8) d'acheter ou pas de consulter ou pas de couper la télé ou pas d'éteindre mon ordi ou pas... etc

Une alternative existe toujours le libre arbitre

Pour ce qui est de la sécurité absolue elle n'existe pas.

Encore faut-il en avoir besoin, et manipuler des données illégales ce qui n'est pas le cas de tout le monde, mais les photos de tante Yvette, même à poil n'intéressent guère la NSA je pense

Reste à demeurer vigilant et se prémunir autant que faire se peut et crypter ses message à la mode de chez nous comme celui ci que je viens de rédiger peut parfois passer inaperçu (à vous de trouver) : j'en connais qui avaient Enigma sous le nez mais n'ont pas pris au sérieux les infos diffusées, comme quoi posséder l'information ne protège pas de la bêtise

[jmnicolas]

« Les failles de Tor sont dues à des applications tierces et add-ons, comme Flash. Si je faisais de la médecine légale sur vous et que je savais que vous êtes sur Tor, je ne me serais pas attaqué au réseau mais plutôt aux points faibles autour de lui », affirme t-il.

Je pense que c'est une traduction de "forensics" qui englobe toutes les méthodes de police scientifique. On a pas vraiment d'équivalent en français, mais en l’occurrence ça ne veut rien dire.

[Mr_Exal]

Finalement il serait ben de se replonger dans les techniques banales de l'espionnage et du contre espionnage pour diminuer certains risques d'exposition

Opter pour une technique très simple qui est la désinformation

Renvoyer de fausses informations sur son compte peut se révéler très précieux pour brouiller les pistes pour ceux qui en ont l'utilité

Une recherche sur Google permet de vérifier que sa véritable identité n'apparaisse nulle part sur le net même si l'on y est très actif n'est pas si difficile

Voilà pourquoi mon compte Facebook n'est rempli que de conneries comme mon compte Twitter qui ne sont d'ailleurs pas à mon nom / prénom.

[guillaumd]

merd moi je croyer que j'etais anomne sur facebook avec tor^^