Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Tor » BlackHat : une présentation sur Tor annulée

BlackHat : une présentation sur Tor annulée

D 22 juillet 2014     H 10:35     A Genma     C 0 messages   Logo Tipee

TAGS : Tor

Les conférences Blackhat

Les conférences Blackhat https://www.blackhat.com/ sont des conférences organisées partout dans le monde, sur le thème de la sécurité informatique. Une caractéristique de ces rassemblements est que les présentations sont considérées comme étant très techniques : ils s’adressent ainsi principalement aux experts de la sécurité. Source.

La prochaine se tiendra aux USA, à Las Vegas, du 2 au 7 août.

La conférence désanonimisation des utilisateurs de Tor

Apparemment des chercheurs auraient réussis à "casser/désanonymiser Tor en le rendant donc vulnérable", pour un budget d’environ 3.000 dollars. « YOU DON’T HAVE TO BE THE NSA TO BREAK TOR : DEANONYMIZING USERS ON A BUDGET, l’annonce de cette conférence avait été relayé par différents sites spécialisés en anglais et j’étais passé à côté.

Le problème est que pour l’instant, il est difficile d’en savoir plus tant que la conférence n’a pas eu lieu.

La conférence a été annulée

Depuis quelques heures, l’annonce de l’annulation de la conférence circule de nouveau les sites spécialisés, et en anglais pour l’instant. J’ai trouvé un site d4n3ws.polux-hosting.co qui évoque l’annulation de la conférence : Une présentation devant avoir lieu à la conf BlackHat sur la désanonimisation des utilisateurs de Tor a été annulée.
Apparemment ce ne serais pas une volonté de censure mais plus un désaccord entre les chercheurs faisant la présentation et l’université de Carnegie-Mellon d’où ils proviennent, situation qui a déjà été vu dans d’autres cas…
Source.

Est-ce une volonté du projet Tor de cacher quelque chose ?

Le projet Tor a réagi à travers une mailing-liste/un billet sur les blogs pour donner leur explications et leur non implicaiton dans cette annulation. Le message original est ici :

 https://blog.torproject.org/blog/recent-black-hat-2014-talk-cancellation
 https://lists.torproject.org/pipermail/tor-talk/2014-July/033954.html

On the recent Black Hat 2014 Talk Cancellation - A propos de la récente annulation de la conférence à la Black Hat 2014, par Roger Dingledine

Salut les gens,

Les journalistes nous questionnent à propos de l’annulation de la conférence Black Hat sur l’attaque de Tor. Nous travaillons toujours avec le CERT pour faire une communication détaillée (si tout va bien cette semaine), mais j’ai pensé que je devais partager quelques détails avec vous au plus tôt.
1) Nous n’avons pas demandé à la Black Hat ou au CERT d’annuler la conférence. Nous avons posés (et le faisons encore) des questions aux présentateurs et au CERT sur certains aspects de leurs recherches, mais nous n’avions aucune idée de la conférence serait annulée avant que l’annonce en soit faite.

2) En réponse à nos questions, nous avons reçu certains informations. Nous n’avons pas reçu de diapositives ou une description plus détaillée de ce qui sera présenté dans la conférence en dehors de ce qui était disponible sur la page Web de Black Hat.

3) Nous encourageons la recherche sur le réseau Tor, avec une divulgation responsable de toutes les attaques nouvelles et intéressantes. Les chercheurs qui nous ont remontés de bogues par le passé nous ont trouvé très utile dans la résolution des problèmes, et c’était généralement positif de travailler avec eux.

Qu’en pensez ?

De ce que je comprends/sais au moment de la rédaction de ce billet, l’équipe derrière Tor explique qu’ils sont pour qu’on leur informe de toute faille/problème ou autre afin qu’ils les corrige. Diffuser des failles, étant donné les enjeux (risque de vie ou de mort pour des dissidents par exemple), ne devrait pas être fait de façon publique mais remontée aux équipes du projet afin qu’ils puissent agir en conséquence en les corrigeant. Pour l’instant, il est difficile de se prononcer. Je vais surtout suivre l’évolution de la communication autour de ce problème et essaierait de vulgariser/communiquer via ce blog.

Pour compléter, je traduis un extrait de l’article Carnegie Mellon Kills Black Hat Talk About Identifying Tor Users — Perhaps Because It Broke Wiretapping Laws

Il a eu beaucoup de spéculations sur ce qui se passe, mais Chris Soghoian a une assez bonne thèse que les chercheurs n’ont probablement pas l’approbation institutionnelle ou le consentement des utilisateurs dont il a été fait l’identification, ce qui signifie qu’ils ont été potentiellement violer les lois sur l’écoute électronique. Comme il le souligne, l’exécution d’un serveur Tor pour tenter d’espionner le trafic Tor sans en parler à des avocats est une très mauvaise idée. Bien qu’il n’ait pas encore été confirmé que c’est ce qui s’est passé, c’est certainement une théorie assez sensible.

Bien sûr, rien de tout cela ne change le fait qu’il est possible d’identifier certains utilisateurs de Tor. Mais ... ce n’est pas particulièrement nouveau. En fait, nous en avons discuté dans le passé comment le gouvernement fédéral peut identifier les utilisateurs de Tor. Tor ajoute une couche de protection importante, mais il ya beaucoup des façons de pouvoir être identifiés en utilisant Tor. Il suffit de demander à Russ Ulbricht. Le problème n’est pas tant Tor lui-même, mais la façon dont les gens l’utilisent - et le fait est que la plupart des gens l’utilisent d’une manière qui finira par révéler qui ils sont.

Je vous invite d’ailleurs à lire ma traduction d’un texte du site du projet Tor : "Vous voulez que Tor marche vraiment ?", qui vous en dira plus sur les erreurs de base à ne pas commettre quand on utilise Tor.