Tor est-il sûr et totalement anonyme ?

Dans un précédent article, je vous présentais le fonctionnement de Tor : Qu’est-ce que Tor, définition et comment ça marche.
Un des principaux but de Tor est de permettre une certaines anonymats et protection contre le pistage.
TOR est le plus souvent accessible via le navigateur Tor : une application gratuite open source basée sur Mozilla Firefox. Le navigateur Tor fonctionne en acheminant votre trafic via trois nœuds aléatoires; Le nœud de garde, le nœud central et le nœud de sortie.

Mais est-il possible de dé-anonymisés un utilisateur Tor ?
Peut-on surveiller le réseau Tor ?

Dans ce tutoriel, je pointe quelques limites à Tor.

Comment peut-on surveiller les utilisateurs sur Tor ?

Pour bien comprendre ce tutoriel, vous devez savoir comment fonctionne Tor.
Pour cela, lisez ce guide : Qu’est-ce que Tor, définition et comment ça marche ?

Les attaques de Sybil et le contrôle les nœuds de sorties Tor

Le noeud de sortie est le dernier niveau de la connexion en oignon qui se connecte au service internet final.
C’est donc ce noeud qui permet de connaître les activités des internautes et pire encore, de rediriger le trafic internet des internautes.
Par exemple, un acteur de menace nommé BTCMITM20 a exécuté des milliers de nœuds de sortie Tor malveillants afin de remplacer les adresses du portefeuille Bitcoin dans le trafic Web et les paiements d’utilisateurs de détournement.

Ainsi, une des forces de Tor qui permet à n’importe qui de participer au réseau de Tor peut aussi se retourner contre lui.
Ce dernier étant particulièrement vulnérable aux attaques de Sybil.
L’attaque de Sybil dans la sécurité informatique est une attaque dans laquelle un système de réputation est renversé en créant un grand nombre d’identités et en les utilisant pour obtenir une influence disproportionnée dans le réseau.

Un autre aspect à prendre en compte et que les noeuds de sorties de Tor sont souvent des serveurs dédiés que l’on peut louer chez des hébergeurs grands publics.
Ces hébergeurs effectuent des analyses réseaux et les autorités gouvernementales peuvent aussi avoir des accès.
Ainsi, des boîtes noires ou des équipements effectuant de DPI dans ces derniers peut aussi permettre de surveiller les internautes qui utilisent Tor.

L’utilisation de HTTPS et autres services chiffrés sont donc impératifs, en effet, le propriété du noeud de sortie peut sniffer les communications et lire le contenu non chiffré.
Cela vient du fait que le noeud de sortie peut agir comme dans une attaque man in the middle.

Ce n’est pas seulement un risque théorique non plus. En 2011, un groupe de chercheurs a acquis les adresses IP de 10 000 personnes qui utilisaient des clients BitTorrent via Tor. Comme de nombreux autres types d’applications, les clients BitTorrent ne sont pas sûrs et capables d’exposer votre véritable adresse IP.

Vulnérabilités dans Tor

Il convient de rappeler que le réseau d’oignons a été initialement conçu et développé par l’US Navy et est toujours largement financé par le gouvernement américain. Ce n’est pas nécessairement un problème en soi, mais la collaboration en cours entre les développeurs de Tor et le gouvernement américain.

Dans une affaire judiciaire de 2017, le FBI a finalement refusé de divulguer ou de témoigner d’une vulnérabilité potentielle de TOR utilisée pour identifier leur suspect, s’effondrer complètement l’affaire. Cela démontre que même si le FBI peut avoir la capacité de déanonymiser les utilisateurs, ils ne peuvent pas révéler leurs méthodes.

Ainsi les soupçons selon lesquels le FBI, la National Security Agency (NSA) et d’autres agences gouvernementales américaines peuvent désanonymiser les utilisateurs perdurent depuis des années.
Cela a conduit à des rumeurs selon lesquelles Tor est simplement un piège utilisé par les forces de l’ordre pour surveiller ceux qui recherchent l’anonymat en ligne.

Pister les internautes sur Tor par Netflow

Des chercheurs de l’Université Columbia ont également développé des attaques d’analyse du trafic qui leur permettent de déanonymiser jusqu’à 81% des utilisateurs de Tor en analysant les informations sur le routeur.

Netflow est une technologie conçue pour collecter les informations de trafic IP et surveiller le flux du réseau. Il est intégré aux protocoles de routage Cisco qui permet d’obtenir le trafic lorsqu’il entre et quitte une interface.

Les infiltrateurs peuvent utiliser ces informations pour effectuer des attaques d’analyse du trafic en surveillant les modèles de trafic sur différents points du réseau d’oignons.

En exploitant NetFlow, il est possible de révéler l’adresse IP d’origine d’un utilisateur et divulguer leur véritable identité.
Cela confirme en outre les soupçons selon lesquels les utilisateurs de Tor peuvent être identifiés et dé-anonymisés.

Le pistage des internautes par NetFlow

KAX17 et la désanonymisassions massive sur Tor

Depuis au moins 2017, un mystérieux acteur malveillant a dirigé des milliers de serveurs malveillants dans les positions d’entrée, du milieu et de sortie du réseau TOR dans ce qu’un chercheur en sécurité a décrit comme une tentative de désanonyme des utilisateurs de TOR.

A son apogée, KAX17, a fait tourner plus de 900 serveurs malveillants sur le réseau Tor, qui tend généralement à osciller autour d’un total quotidien pouvant atteindre 9 000 à 10 000.

Outre l’aspect industrielle, KAX17 a aussi la particularité de ne pas ajouter que des nœuds de sorties.
L’accent mis par KAX17 sur l’entrée de Tor et les relais intermédiaires a conduit à penser que le groupe essaie de collecter des informations sur les utilisateurs se connectant au réseau Tor et tente de cartographier leurs itinéraires à l’intérieur.3

Dans les recherches effectuées, il a été estimé qu’un utilisateur Tor avait 16% de chances de se connecter au réseau TOR via l’un des serveurs de Kax17, 35% de chances de passer par l’un des membres ses relais moyens et jusqu’à 5% de chances d’en sortir.

Le projet Tor a commencé à retirer des serveurs malveillants à partir d’Octobre 2020 afin de réduire la portée de cette attaque contre le réseau Tor.

Nombre de relais Tor par l'attaque du groupe KAX17

Plus d’informations : The Growing Problem of Malicious Relays on the Tor Network

Tor est-il sûr et totalement anonyme : la conclusion

Tor apporte les garanties suivantes :

Votre FAI ne peut pas suivre votre activité de navigation
Les harceleurs ne pourront pas vous pister
Les sites Web et les services ne peuvent pas suivre vos données et publier des annonces personnalisées
Vous pouvez faire ce que vous voulez sans être jugé
Vous pouvez partager des données confidentielles tout en vous cachant

Ainsi, Tor est relativement sûr. Mais comme tout système informatique, il ne faut pas partir du principe que la garantie 100% existe.

Mais comme le montre cet article, le réseau Tor a déjà fait l’objet de différentes attaques.
Mais, sachez qu’il existe aussi de nombres autres types d’attaques possibles pour déanonymiser les internautes (Correlation Attacks, Congestion Attacks, Timing Attacks, …). Le lien suivant en donne de longues explications : Attacks on Tor.

De ce fait, partez du principe que le réseau Tor est certainement surveillé par les autorités gouvernementales comme c’est le cas avec le fournisseur d’accès internet.
Il faut aussi savoir que Tor donne accès au Darkweb où des activités illégales ont aussi lieux.
De plus acteurs malveillants peuvent aussi chercher à s’attaquer aux utilisateurs de Tor afin de voler des données.

Ainsi, il convient donc d’appliquer les mêmes règles de sécurité informatique comme si vous ne surfiez sans Tor.
Pour vous aider ce suivez ce guide :

6 conseils pour bien utiliser Tor