Mi-septembre, des recherches menées par l’audiovisuel public (Panorama et STRG_F) ont révélé que le BKA (Office fédéral de police criminelle) et le parquet général de Francfort-sur-le-Main ont mené avec succès une attaque de désanonymisation dans le réseau Tor. Ils ont ainsi pu identifier et arrêter l’exploitant de la plateforme pédocriminelle Boystown. Pour ce faire, ils ont exploité leurs propres nœuds Tor et surveillé des parties du réseau pendant plusieurs années et au-delà des frontières nationales. L’attaque soulève la question de savoir si Tor et Tails sont encore sûrs. Dans ce texte, nous tentons une évaluation provisoire basée sur les rares informations techniques accessibles au public et donnons quelques recommandations d’action pour une utilisation plus sûre de Tor. Car Tor reste le meilleur outil disponible pour dissimuler sa propre identité sur Internet. Si vous ne vous intéressez qu’aux conséquences pratiques et non aux détails techniques de l’attaque, vous pouvez commencer la lecture à partir de la section « Santé du réseau Tor ».

Comment fonctionne Tor ?

Avant d’entrer dans les détails techniques de l’attaque, résumons brièvement le fonctionnement de Tor. Tor peut être utilisé aussi bien pour contourner la censure étatique que pour cacher sa propre identité ou son lieu de séjour sur Internet. Pour ce texte, seul l’usage de Tor comme outil d’anonymisation sur Internet nous intéresse.

Considérons d’abord le cas où nous voulons consulter anonymement une page web, par exemple radikal.news. Pour cela, nous utilisons le navigateur Tor. Après avoir saisi l’adresse, le logiciel Tor choisit trois serveurs au hasard parmi les quelque 8 000 serveurs du réseau Tor, également appelés nœuds ou relais. Tout d’abord, une connexion cryptée est établie avec le premier nœud, le Guard, puis de là vers le nœud intermédiaire (Middle), et de là vers le nœud de sortie (Exit). Ce n’est que le nœud Exit qui résout le nom de domaine radikal.news en une adresse IP et établit une connexion avec le serveur web à cette adresse. Ce faisant, le client Tor (dans ce cas le navigateur Tor) crypte la requête à radikal.news une fois par nœud Tor. Chaque nœud sur le chemin vers la destination retire une couche de cryptage – d’où l’image de l’oignon pelé. Ce principe permet de s’assurer qu’aucun des nœuds du réseau Tor ne dispose d’informations suffisantes pour nous lier, nous le client, au serveur web. Le nœud Guard voit seulement que nous nous connectons au réseau Tor et quel nœud intermédiaire nous utilisons. Le nœud Exit voit certes qu’une requête est transmise à radikal.news, mais il voit seulement qu’elle a été transmise par un nœud intermédiaire quelconque et non d’où elle provient. Le nœud intermédiaire ne voit que le Guard et le nœud Exit. Il ne sait absolument pas de qui il transmet la communication. À ce stade, il convient de mentionner qu’il est très important d’utiliser un cryptage de transport (HTTPS) pour empêcher le nœud Exit de lire toute la communication avec le serveur cible en texte clair.

Grâce à ce procédé, il est techniquement assuré que le fournisseur d’accès à Internet voit uniquement que nous nous connectons à Tor et que le serveur web voit uniquement qu’un utilisateur de Tor quelconque envoie une requête – du moins tant que nous ne faisons rien qui nous identifie, comme nous connecter à un compte non anonyme. Tor est donc conçu pour protéger aussi bien contre les attaques visant à découvrir qui fait quelque chose que contre ce qu’une personne déjà suspecte fait. Cependant, les garanties de sécurité ne s’appliquent pas face à un attaquant global. Cela signifie que si un attaquant est en mesure de surveiller les paquets entrants et sortants aussi bien sur mon nœud Guard choisi au hasard que sur le nœud Exit, il peut alors, avec une probabilité élevée, m’attribuer la requête envoyée au serveur web. Tor n’a pas la prétention de protéger contre de tels attaquants globaux, car cela entraînerait de grands retards (latences) dans la communication.

Pour rendre moins probable, à long terme, c’est-à-dire sur de nombreuses connexions, le choix d’un nœud Guard exploité par un attaquant, Tor ne choisit pas un nouveau Guard à chaque connexion, mais utilise un nœud Guard sélectionné une fois pendant une période aléatoire de plusieurs semaines. Ainsi, il faudra très longtemps à un attaquant qui ne peut surveiller qu’une petite partie du réseau pour qu’un nœud Guard approprié pour une attaque soit choisi. Ce mécanisme de protection devient pertinent pour l’attaque discutée ici. Nous y reviendrons plus tard.

Que sont les Onion Services ?

L’attaque qui vient d’être rendue publique visait un Onion Service. En plus de l’anonymisation du client déjà décrite, Tor permet d’offrir soi-même anonymement des services appelés Onion Services, par exemple exploiter un serveur web sans que les visiteurs du site n’apprennent où se trouve le serveur ou qui l’exploite. L’Onion Service maintient en permanence des connexions avec un ou plusieurs nœuds Tor appelés Introduction Points (IP). L’Onion Service publie les IP sélectionnés sous forme d’un Onion Service Descriptor dans les Hidden Service Directories (HSDirs), une structure de données répartie sur le réseau, de sorte que (seuls) ceux qui connaissent l’adresse Onion peuvent demander par quels IP ils peuvent atteindre le service. Si le client Tor veut se connecter à l’Onion Service, il choisit d’abord un autre nœud, le Rendezvous Point (RP), et établit une connexion vers celui-ci. Ensuite, il établit une connexion vers un IP et communique à l’Onion Service, de manière cryptée via celui-ci, l’adresse du RP. Suite à quoi l’Onion Service se connecte également au RP, et le client et l’Onion Service peuvent communiquer via le RP sans connaître l’emplacement respectif de l’autre.

L’attaque de désanonymisation par analyse de trafic

Des reporters de Panorama et STRG_F ont découvert que le BKA et le parquet général de Francfort-sur-le-Main ont mené avec succès plusieurs analyses de timing, également appelées analyses de trafic, dans le cadre de l’enquête contre la plateforme Boystown. Ce type d’attaque est possible car Tor est un réseau d’anonymisation à faible latence. De ce fait, des séquences de paquets envoyés (par exemple selon le nombre, les intervalles de temps, le volume du trafic de données, etc.) qui corrèlent à différents points du réseau peuvent être liées par de simples moyens statistiques. Pour mener à bien l’attaque, les autorités ont exploité leurs propres nœuds Tor pendant des années et ont surveillé des nœuds existants pendant plusieurs mois. De plus, le BKA a coopéré au moins avec les autorités néerlandaises dans la surveillance du réseau Tor. L’Allemagne et les Pays-Bas sont les deux pays où sont exploités, de loin, le plus grand nombre de serveurs Tor. Par conséquent, une coopération des autorités de ces pays permet de surveiller, au moins théoriquement, une partie significative du réseau. En exploitant ses propres nœuds et grâce à l’analyse de trafic mentionnée ci-dessus, les autorités ont réussi à découvrir au moins quatre fois le nœud Guard de suspects. Cette attaque dite « Guard Discovery » a été la première étape de la désanonymisation de l’Onion Service : elle a fourni l’adresse IP du nœud Guard et donc le point de départ pour d’autres attaques sur l’anonymat de l’Onion Service lui-même.

La désanonymisation a réussi parce que les autorités ont fait preuve de persévérance et ont lié plusieurs sous-attaques très difficiles à réaliser. D’après tout ce que nous savons, au moins les étapes suivantes peuvent être dégagées comme vue d’ensemble :

Identification de la cible de l’attaque (adresse Onion)

Exploitation de ses propres nœuds ou surveillance de nœuds Tor existants

Attaque Guard Discovery par analyse de timing

Limitation de l’adresse IP de la cible au réseau Telefónica

IP-Catching par Telefónica

Nous voulons maintenant éclairer certaines de ces étapes plus en détail. Selon le Tor Project, l’attaque concrète reposait sur le fait que le suspect utilisait le messager Ricochet, dont le développement a cessé depuis 2017. Chaque fois que le messager est en ligne, il crée un Onion Service via lequel les messages peuvent être échangés. L’adresse de l’Onion Service est en même temps l’ID utilisateur. Elle reste donc la même de manière permanente et il est possible de voir en temps réel, grâce à l’Onion Service Descriptor dans les HSDirs, quand l’exploitant est en ligne. Les autorités ont profité, lors de l’attaque sur Ricochet, du fait qu’il est possible d’envoyer un nombre illimité de messages, de n’importe quelle taille, à l’Onion Service. Pour cela, l’Onion Service crée à chaque fois une nouvelle connexion vers un RP. Ce n’est donc qu’une question de temps avant qu’un nœud intermédiaire contrôlé par l’attaquant ne soit choisi, rendant ainsi connue l’adresse IP du nœud Guard. Comme l’attaquant contrôle le flux de données, c’est-à-dire qu’il détermine lui-même quand il envoie des messages, il peut très facilement exploiter un canal caché à l’intérieur du protocole Tor ou un canal auxiliaire, par exemple via des retards des paquets individuels appartenant à un message. On peut ainsi constater sur le nœud intermédiaire contrôlé par l’attaquant qu’il s’agit effectivement de la connexion recherchée vers l’Onion Service.

Après que le nœud Guard a été identifié, le tribunal d’instance de Francfort-sur-le-Main a ordonné le 17 décembre 2020 que Telefónica surveille l’ensemble de ses 43 millions de clients pendant trois mois pour découvrir lesquels se connectaient au nœud Guard identifié. Déjà après quelques jours, les autorités ont pu identifier l’exploitant de Boystown de cette manière. On ne sait pas comment les enquêteurs savaient que le suspect était client de Telefónica. Prétendument, le BKA a reçu un tuyau d’une autorité étrangère. Mais même dans ce cas, on ne peut que spéculer sur l’origine de la limitation à Telefónica. Il est probable que les autorités, après la découverte réussie du nœud Guard, aient effectué d’autres analyses de réseau par lesquelles elles n’ont certes pas pu dériver directement l’adresse IP de l’Onion Service, mais au moins le Système Autonome (AS). Cette procédure est devenue possible parce que, d’une part, le nœud Guard était déjà connu et, d’autre part, les attaquants (comme décrit ci-dessus) pouvaient déterminer eux-mêmes quand les données étaient envoyées sous forme de messages de chat entre le nœud Guard et l’Onion Service.

Santé du réseau Tor

La désanonymisation décrite ne repose pas sur une faille dans le protocole Tor ou sur le fait que le cryptage aurait été cassé. Il s’agit plutôt d’une attaque de corrélation par analyse de trafic, favorisée par des logiciels obsolètes et une infrastructure de nœuds problématique.

Le problème de l’infrastructure L’Allemagne et les Pays-Bas hébergent environ 40 % de tous les nœuds de sortie de Tor. Si les autorités de ces pays collaborent, elles peuvent surveiller une proportion alarmante du trafic. En exploitant elles-mêmes de nombreux nœuds (Sybil Attack), elles augmentent la probabilité que le nœud intermédiaire d’une cible soit l’un des leurs.

Tails et le risque des Guards tournants Tails est un système « amnésique » : il ne stocke rien. Par défaut, Tails choisit un nouveau nœud Guard à chaque démarrage. Pour un usage ponctuel, c’est une protection contre le pistage. Mais pour un usage régulier sur une longue période, cela devient une faiblesse face à l’attaque décrite. Plus vous changez souvent de Guard, plus vous avez statistiquement de chances de tomber un jour sur un Guard contrôlé par les autorités. Les développeurs de Tails travaillent sur une option pour rendre le Guard « persistant » (stocké sur la clé), ce qui limiterait ce risque.

Recommandations d’action

Même après cette attaque, Tor reste l’outil le plus sûr, mais il doit être utilisé avec prudence.

Évitez les logiciels obsolètes : N’utilisez plus Ricochet ou des services Onion v2 (les adresses à 16 caractères). Utilisez uniquement les services Onion v3 (56 caractères).

Utilisez des ponts (Bridges) : Même si Tor n’est pas bloqué chez vous, l’utilisation de ponts (type obfs4) rend plus difficile pour votre fournisseur d’accès (et donc pour la police via le fournisseur) de savoir que vous utilisez Tor et avec quel nœud vous communiquez.

Hygiène numérique : Ne mélangez pas vos activités anonymes avec des comptes personnels. L’analyse de trafic est facilitée si vous restez connecté longtemps ou si vous envoyez de gros volumes de données.

Vanguards : Le Tor Project a introduit l’addon « Vanguards » pour les services Onion, qui complique la découverte des Guards en limitant le changement de nœuds.

Conclusion politique

L’attaque montre que l’anonymat technique pur a ses limites face à la surveillance de masse et à la puissance étatique.

Est-il temps de repenser le protocole pour inclure du « bruit » (Cover Traffic) ou des latences plus élevées (Mix-nets) ?

Quelles conséquences si Tor devenait réellement « cassable » ? Nous devons anticiper la possibilité de ne plus pouvoir être anonymes sur Internet et réfléchir à des moyens d’organisation plus indépendants du réseau numérique.

Tor n’est pas « cassé », mais le combat entre anonymat et surveillance est entré dans une nouvelle phase plus agressive.

par capulcu & friends
https://capulcu.noblogs.org/post/2024/10/22/ist-das-schon-kaputt-eine-vorlaeufige-einordnung-des-angriffs-auf-das-tor-netzwerk/