Comment l’attaque confirmée sur le réseau TOR affecte les utilisateurs de SecureDrop

, par  Genma , popularité : 4%

Nouvelle traduction d’un billet expliquant l’attaque récente qu’a subi le réseau Tor.
Pour en savoir plus sur la dite attaque, je vous invite à lire le billet plus technique et en anglais sur le blog officiel du projet TOR Tor security advisory : "relay early" traffic confirmation attack

Ce texte a été publié sous licence Creative Commons Attribution 4.0 International License, ce qui me permet de le traduire. Texte original à l’adresse suivante : How the Tor Traffic Confirmation Attack Affects SecureDrop Users écrit par Runa A. Sandvik, @runasand sur Twitter.

How the Tor Traffic Confirmation Attack Affects SecureDrop Users - Comment l’attaque confirmée sur le réseau TOR affecte les utilisateurs de SecureDrop

Mercredi matin, le projet Tor a publié un bulletin de sécurité détaillant une attaque contre le réseau Tor, attaque dont le but était d’essayer de désanonymizer les utilisateurs. SecureDrop, notre système de soumission open-source dédié aux lanceurs d’alertes, est fortement tributaire de Tor et utilise le réseau d’anonymisation pour faciliter la communication entre les lanceurs d’alertes, les journalistes et les organismes de presse. Pour cette raison, nous avons voulu clarifier la façon dont l’attaque affecte les utilisateurs de SecureDrop.

Selon les analyses, les assaillants semblent avoir ciblés les personnes qui fournissent ou accédent à des services cachés Tor. SecureDrop utilise les services cachés, entre autres choses, hébergant le site web qui permet de soumettre des documents à des journalistes et le site auxquels les journalistes accèdent lors du téléchargement de ces informations.

En déployant un certain nombre de relais au sein du réseau Tor et en modifiant le trafic passant par ces relais, les assaillants ont tenté de savoir qui utilisait Tor et dans quel but. Malheureusement, la quantité d’informations que les assaillants ont pu récolté n’est pas encore clairement établie. Les utilisateurs qui ont utilisés ou accédés aux services cachés entre les dates du 30 Janvier et du 4 Juillet, période pendant laquelle les relais compromis étaient présents sur le réseau Tor, doivent supposer qu’ils ont été touchés (et sont donc concernés).

Le projet Tor annonce que les assaillants étaient en mesure d’identifier les utilisateurs qui utilisaient des services cachés, mais qu’ils n’ont probablement pas été en mesure de voir quelles pages ont été chargées ou quel type d’information a été soumis ou téléchargé. Les assaillants étaient probablement aussi en mesure de connaître l’emplacement de ces services cachés. Le projet Tor n’a trouvé aucune preuve pouvant suggérer que les assaillants ont tenté de savoir quels sites les utilisateurs consultaient sur l’Internet ouvert. Nous vous recommandons de lire
l’avis complet si vous êtes intéressé par les détails techniques
.

Qu’est-ce que cela signifie pour les journalistes et les utilisateurs SecureDrop ?

Il existe une possibilité que les assaillants aient appris l’emplacement physique d’un serveur exécutant SecureDrop. Il y a d’autres façons pour les attaquants d’apprendre cette information, et nous avons toujours recommandé aux organismes de presse ne pas compter uniquement sur les services cachés mais d’également cacher la localisation de leurs serveurs. Il y a aussi une possibilité que les assaillants aient appris la localisation individuelle des utilisateurs de Tor, y compris celles des sources soumettant des documents à des journalistes, si les utilisateurs étaient connectés à l’un des relais Tor contrôlés par les assaillants.

Pour cette raison très spécifique, nous recommandons à nos sources d’utiliser le système d’exploitation Tails, de restreindre leur utilisation à des fonctionnalités liées SecureDrop durant toute la durée de l’exécution de Tails, et de ne jamais visiter des sites SecureDrop depuis leur domicile ou leur lieu de travail. Bien que cela ne supprime pas complètement la menace d’une attaque par corrélation, cela limite les informations qu’un attaquant sera capable d’apprendre.

Le projet Tor fournira bientôt une nouvelle version du navigateur Tor, version qui apportera une réduction des conséquences des futures attaques de ce genre. Nous vous recommandons fortement de le mettre à jour dès que la nouvelle version est disponible.

Cet épisode n’est que le dernier exemple de pourquoi il est si important que nous continuions à soutenir des projets de logiciels libres tels que le Projet Tor, afin qu’ils puissent identifier et prévenir ces types d’attaquants rapidement. Nous avons actuellement un crowdfunding pour quatre de ces outils libres et open-source, y compris Tor et le système d’exploitation Tails, dont de nombreux journalistes et des sources dépendent pour communiquer de manière sécurisée. S’il vous plaît, envisager le fait de faire don pour soutenir de ces outils qui peuvent mieux protéger les communications des journalistes et des sources.