Un chercheur en cybersécurité a révélé deux vulnérabilités dans le projet de confidentialité Tor, qui peuvent faciliter la détection du trafic réseau et révéler de manière unique ceux qui utilisent cet outil.
Neal Krawetz, chercheur possédant une vaste expérience en cybersécurité, publié dans son blog deux erreurs ou vulnérabilités détectées dans le projeto Tor, qui se concentre sur la garantie de la confidentialité de ses utilisateurs, ou du moins c'est ce qu'ils veulent nous faire croire. Dans son message, Krawetz indique que Tor est conçu pour contourner la censure du réseau et échapper à la surveillance, offrant ainsi un haut niveau de sécurité et de confidentialité à ses utilisateurs. Cependant, le chercheur souligne deux exploits récents qui détruisent les propriétés de confidentialité et de sécurité offertes par leurs développeurs, en permettant de détecter les utilisateurs de Tor sur le réseau.
L'un des problèmes détectés par Krawetz indique que : il est possible de détecter la largeur de la barre de défilement personnalisée du navigateur Web que le projet recommande généralement pour une utilisation dans Tor. Cette erreur permet à un serveur de suivre le système d'exploitation sous-jacent et donc les utilisateurs, afin que la surveillance du réseau ne soit pas éludée. Deuxièmement, le chercheur souligne un autre exploit qui permet aux entreprises, aux fournisseurs de services, entre autres, d'empêcher les utilisateurs de se connecter directement au réseau Tor ; un autre exploit qui n'empêche pas la censure des utilisateurs sur le réseau.
Bien que les publications de Krawetz soient récentes, le chercheur souligne qu'il informe depuis plusieurs années les développeurs de Tor des vulnérabilités qu'il a détectées. Pour ce faire, il a fourni des preuves fiables démontrant l’existence de ces erreurs, même si les développeurs ne les ont pas considérées, pour la plupart, comme des informations sérieuses pour résoudre les exploits.
Il peut vous intéresser: Ledger rapporte un piratage ayant entraîné une fuite d'informations sur des clients au cours des deux derniers mois
Tor ne permet pas de naviguer de manière totalement anonyme
Pour les amateurs de confidentialité, par droit, décision ou nécessité, le réseau Tor se présente comme une option qui offre un anonymat complet et total à ses utilisateurs lors de leur navigation sur le réseau. Cependant, Krawetz commente que :
« De nombreux utilisateurs pensent que Tor les rend anonymes. Mais les utilisateurs de Tor peuvent être suivis en ligne ; Ils ne sont pas anonymes.
C’est ce que Krawetz a souligné dans sa récente publication, mais il n’est pas le seul à exprimer cette situation. Depuis plusieurs années, des entreprises et des chercheurs soulignent les vulnérabilités du réseau de « confidentialité », arguant que ces services ne sont pas aussi anonymes ou incassables que beaucoup le croient souvent.
Tor a été conçu comme une option sécurisée et facile à utiliser pour quiconque souhaite naviguer sur Internet en toute sécurité et en toute confidentialité, en protégeant ses données personnelles à tout moment. Et même si l'objectif des développeurs a été atteint au début, il est également vrai que depuis des années le réseau est confronté à plusieurs failles de sécurité, qui ont été détectées et alertées par des experts, mais qui ont souvent été ignorées par les responsables du projet. . bien qu’ils prétendent que non.
Malgré cela, à ce jour, de nombreux utilisateurs considèrent toujours Tor comme l’une des options les plus sûres du marché pour protéger leur vie privée et celle de leurs données.
Vulnérabilités détectées dans Tor
Comme mentionné au début, les récentes publications de Krawetz soulignent deux erreurs présentes dans le réseau Tor qui permettent la détection du trafic sur le réseau, ainsi que le suivi et le blocage des utilisateurs. De même, en 2015, un autre bug a été découvert sur le réseau ; un lié à l'affectation des nœuds RépHSD qui sont utilisés pour connecter les utilisateurs aux pages Web.
Développeurs et chercheurs Filippo Valsorda y Georges Tankersley a détecté la vulnérabilité, expliquant que les connexions des nœuds étaient prévisibles, c'est pourquoi tout attaquant averti pourrait usurper l'identité de l'un des nœuds HSDir auquel un site Web se connecterait, afin d'accéder à la fois aux données du serveur et à celles des utilisateurs connectés.
À cette époque, les développeurs du projet Tor ont annoncé qu'ils travaillaient sur une nouvelle génération de nœuds HSDir pour résoudre la vulnérabilité et, de la même manière, ils ont noté que si un utilisateur exécutait cette attaque, elle serait détectée sur le réseau.
La même année, des chercheurs de Kaspersky Lab Ils ont également souligné que Tor présentait certaines vulnérabilités et erreurs qui ne permettaient pas un anonymat complet sur ce réseau. Par ailleurs, une enquête menée par le Institut de technologie du Massachusetts (MIT) et l' Institut de recherche informatique du Qatar (QCRI) Ils ont également révélé un vulnérabilité sur Tor, qui expose les identités et la localisation des utilisateurs qui utilisent ce réseau pour tenter de cacher leurs activités.
Plus récemment, une autre vulnérabilité a été découverte en mai de cette année, qui brise l'une des principales fonctionnalités de confidentialité et de sécurité du réseau en permettant au code JavaScript de s'exécuter sur des sites que les utilisateurs avaient précédemment empêchés d'exécuter. Krawetz a également détecté cette vulnérabilité et a tenté d'alerter les développeurs du bug trouvé.
« Il y a plus de trois ans, j'ai tenté de signaler une vulnérabilité dans le navigateur personnalisé utilisé par le projet Tor. L'erreur est assez simple : en utilisant JavaScript, vous pouvez identifier la largeur de la barre de défilement. Chaque système d'exploitation possède une taille de barre de défilement différente, afin qu'un attaquant puisse identifier le système d'exploitation sous-jacent. "Il s'agit d'un attribut distinctif qui peut être utilisé pour aider à suivre de manière unique les utilisateurs de Tor."
Krawetz affirme avoir écrit un blog avec detalles à propos du bug et que les développeurs ont pris le bug comme « haute priorité » en lui attribuant le numéro 22137, et ils ont immédiatement commencé à travailler pour le résoudre. Environ 3 mois plus tard, les développeurs ont marqué le bug comme résolu et Krawetz a reçu une récompense pour avoir détecté le bug. Malgré cela, le chercheur souligne qu'il l'a revu quelque temps plus tard et que la vulnérabilité est toujours présente, puisqu'elle n'a jamais été résolue.
"Bien qu'il ait été marqué comme" résolu ", le problème n'a jamais été résolu."
Réponse de Tor à la détection de failles de sécurité
Tor affirme que les vulnérabilités et les erreurs récemment détectées par le chercheur ne sont pas du tout inconnues de l'équipe de développement du projet, et qu'ils ont travaillé dur pour corriger toutes les erreurs détectées sur le réseau.
D'autre part, bien que le chercheur souligne qu'il a fourni des preuves réelles des erreurs, Tor considère que celles-ci n'étayent pas vraiment ses déclarations, ce que Krawetz a considéré comme une incompétence de la part de l'équipe, affirmant qu'il n'essaierait pas de alerter à nouveau Tor de tout bug de sécurité qu'il découvre. Krawetz assure que sa publication est «extrêmement technique », il contient donc tous les détails nécessaires aux autres développeurs de réseaux pour reproduire leurs découvertes.
Continuer la lecture: Les validateurs Ethereum 2.0 dépassent les 466 XNUMX ETH bloqués, il ne reste plus grand-chose pour démarrer le bloc de genèse
