Tor est-il toujours sûr à utiliser ?
Nous écrivons ce billet de blog en réponse à un article d’investigation sur la désanonymisation d’un Onion Service utilisé par un utilisateur de Tor utilisant une ancienne version de l’application Ricochet, depuis longtemps obsolète, par le biais d’une attaque ciblée des forces de l’ordre. Comme beaucoup d’entre vous, nous avons plus de questions que de réponses, mais une chose est claire : les utilisateurs de Tor peuvent continuer à utiliser Tor Browser pour accéder au web de manière sécurisée et anonyme. Et le réseau Tor est en bonne santé.
Veuillez noter que pour la grande majorité des utilisateurs dans le monde qui ont besoin de protéger leur vie privée lorsqu’ils naviguent sur Internet, Tor reste la meilleure solution pour eux. Nous encourageons les utilisateurs du navigateur Tor et les opérateurs de relais à toujours maintenir les versions de leurs logiciels à jour.
D’après les informations limitées dont dispose le projet Tor, nous pensons qu’un utilisateur de l’application Ricochet, depuis longtemps abandonnée, a été complètement désanonymisé par une attaque de découverte « Guard ». Cela a été possible, à l’époque, parce que l’utilisateur utilisait une version du logiciel qui n’avait ni « Vanguards-lite », ni l’addon « vanguards », qui ont été introduits pour protéger les utilisateurs contre ce type d’attaque. Cette protection existe dans « Ricochet-Refresh », un fork maintenu du projet « Ricochet », depuis la version 3.0.12 publiée en juin 2022.
« Vanguards-lite », publié dans Tor 0.4.7, protège contre la possibilité de combiner une création de circuit induite par l’adversaire avec un canal secret basé sur un circuit pour obtenir un relais intermédiaire malveillant confirmé comme étant à côté du « Guard » de l’utilisateur. Une fois le « Guard » obtenue, les heures de connexion du flux net peuvent être utilisées pour trouver l’utilisateur concerné. Dans ce cas, l’attaque par flux net a pu se dérouler rapidement, car l’attaquant a pu déterminer quand l’utilisateur était en ligne et hors ligne en raison de la disponibilité de son descripteur Onion Service, combinée au faible nombre d’utilisateurs sur le Guard découvert.
Divulgation responsable
Contrairement au CCC (Chaos Computer Club), qui a eu accès aux documents relatifs à l’affaire et a pu analyser et valider les hypothèses du journaliste, nous n’avons reçu qu’un aperçu vague et des questions de clarification générales qui nous ont laissé dans l’incertitude quant aux faits et nous ont amené à nous poser des questions. Nous apprécions que le journaliste nous ait contactés, mais le projet Tor n’a pas bénéficié du même accès.
Compte tenu du risque potentiel pour nos utilisateurs, nous avons décidé de rendre l’affaire publique. Nous avons demandé à toute personne disposant d’informations supplémentaires sur l’affaire de les partager avec nous. Cela nous permettra de mener notre propre analyse et de déterminer le meilleur plan d’action pour protéger nos utilisateurs.
Pour être clair, le Projet Tor n’avait pas l’intention de demander les sources de l’histoire, mais cherchait à comprendre quelles étaient les preuves d’une attaque de désanonymisation pour répondre avec précision aux questions du journaliste enquêteur et évaluer nos responsabilités en matière de divulgation. Nous continuons à souhaiter obtenir davantage d’informations sur la manière dont les utilisateurs d’Onion Services ont été désanonymisés. Si nous avions accès aux mêmes documents que la CCC, il serait possible de produire un rapport plus clair sur l’état actuel du réseau Tor et sur la façon dont il affecte la grande majorité de ses utilisateurs.
Nous avons besoin de plus de détails sur cette affaire. En l’absence de faits, il nous est difficile d’émettre des conseils officiels ou des informations responsables à la communauté Tor, aux opérateurs de relais et aux utilisateurs.
Nous vous demandons de nous fournir davantage d’informations.
Si vous disposez d’informations susceptibles de nous aider à en savoir plus sur cette attaque présumée, veuillez envoyer un courriel à security@torproject.org.
Si vous souhaitez chiffrer votre courrier, vous pouvez obtenir la clé publique OpenPGP de cette adresse à l’adresse keys.openpgp.org. Empreinte digitale : 835B 4E04 F6F7 4211 04C4 751A 3EF9 EF99 6604 DE41
Votre aide nous permettra de prendre les mesures et les précautions nécessaires pour garder les Onion Services sûrs pour les millions d’utilisateurs qui comptent sur les protections fournies par Tor.
Un réseau sain
Il est important de noter que les Onion Services ne sont accessibles qu’à partir du réseau Tor, c’est pourquoi la discussion sur les nuds de sortie n’est pas pertinente dans ce cas. Mais nous aimerions partager le fait que le nombre de nuds de sortie a augmenté de manière significative au cours des deux dernières années, avec plus de 2 000 nuds disponibles aujourd’hui. À notre connaissance, les attaques ont eu lieu entre 2019 et 2021.
S’il est légitime de s’interroger sur la concentration de ces nuds dans certains pays ou certaines opérations, cela n’a pas grand-chose à voir avec l’attaque décrite, d’après ce que nous avons appris dans les articles publiés jusqu’à présent. Les attaques se sont produites sur une ancienne version de l’application Ricochet, qui a pris fin il y a longtemps, et qui ne disposait pas des nouvelles fonctionnalités que le projet Tor a mises en place depuis pour atténuer le type d’analyse « temporelle » décrite dans les articles. Les versions les plus récentes de « Ricochet-Refresh » disposent de telles protections.
Un autre point important à mentionner est la longévité de la connexion de l’utilisateur pour qu’une telle analyse « temporelle » soit réussie. Un utilisateur de Tor Browser qui ne maintient pas sa connexion pendant longtemps est moins vulnérable à de telles analyses.
Après la période des attaques qui nous a été décrite, 2019-2021, notre équipe Network Health a signalé des milliers de mauvais relais que les autorités d’annuaire ont ensuite voté pour supprimer. Il s’agissait notamment de relais provenant d’un seul opérateur ou tentant d’entrer dans le réseau à grande échelle. L’équipe Network Health a mis en place des processus pour identifier d’éventuels grands groupes de relais qui sont suspectés d’être gérés par des opérateurs uniques et des mauvais acteurs et de ne pas les autoriser à rejoindre le réseau.
Le projet Tor sait que la diversité des relais est un problème urgent pour la communauté Tor et nous avons de nombreuses conversations avec notre communauté et les opérateurs de relais sur ce sujet afin de comprendre comment nous pouvons résoudre ensemble les problèmes communs.
Rien que l’année dernière, nous avons lancé un certain nombre de nouvelles initiatives telles que le défi universitaire Tor de l’EFF et l’introduction de l’API de santé du réseau Tor lors de la DEF CON 32 en début d’année. La bande passante de Tor a en fait augmenté de manière substantielle ces dernières années, comme le montre ce lien : https://metrics.torproject.org/bandw…end=2024-09-18. Cela signifie que le réseau Tor est plus rapide qu’il ne l’a jamais été. Et nous continuons à mener des campagnes de sensibilisation et des efforts pour développer le réseau.
Vous pouvez nous aider
Nous encourageons ceux qui le peuvent à se porter volontaires et à contribuer à la bande passante et aux relais pour développer et diversifier le réseau Tor. En assurant la diversité matérielle, logicielle et géographique du réseau Tor, nous pouvons continuer à minimiser de manière significative le potentiel d’abus et de surveillance sur le réseau Tor – et rendre les attaques des gardiens encore plus difficiles à exécuter. En ce qui concerne la communauté Tor, la meilleure façon d’assurer la santé du réseau, de protéger les utilisateurs et les opérateurs de relais est de maintenir le logiciel Tor à jour et de suivre les conseils que nous publions sur les canaux officiels du projet Tor.
Il est important de se rappeler que Tor est l’une des rares alternatives qui offre une vision et un modèle réalisable pour un Internet décentralisé qui rend ce type d’attaque impraticable pour ceux qui cherchent à surveiller une grande partie des utilisateurs d’Internet. Pourtant, à ce jour, Tor est toujours lié aux limites d’un écosystème Internet qui est principalement détenu et gouverné par une poignée de grandes entreprises.