Le projet Tor, "the onion router" a pour principal objectif de protéger l'identité des utilisateurs tout en utilisant le chiffrement de la connexion. Chaque machine connectée au réseau peut être soit un maillon du réseau TOR, soit une "porte de sortie" vers l'Internet.

C'est avec plaisir, que j'ai rencontré Mr Roger Dingledine un des créateurs du projet lors du 23C3 en 2006. Le projet comportait et comporte toujours de mon point de vue des failles importantes dans son design légal, il suffit de faire tourner une "porte de sortie" Tor pour devenir quasiment un fournisseur d'accès internet, le réseau Tor "étant normalement" anonyme. Vous devenez ainsi complice des actions de l'internaute qui utilise vos ressources pour se connecter à la toile. (Note mentale : Comment, peut-on faire peser une telle épée de Damoclès sur les utilisateurs de son logiciel ?).

Ainsi, si votre visiteur réalise une intrusion, vous devenez partie prenante dans l'intrusion car elle aura pour origine votre ordinateur.

Le plus triste, c'est l'utilisation faite par de nombreuses personnes qui se sentent protégées confondant parfois les notions de chiffrement complet, partiel et d'anonymat. Dés lors, en utilisant de tel réseau, elles deviennent, très vulnérables, un consultant en sécurité informatique Mr Dan Egerstad a ainsi détourné l'utilisation du réseau en hébergeant cinq « nodes » de sortie du réseau TOR. Ainsi, avec un simple « sniffer », il a pu capturer les mots de passe des utilisateurs, lire leur courrier, consulter les sites web non protégés qu’ils utilisaient, (sans parler des attaques man in the middle possible). Souvent les utilisateurs pensent à tort que TOR protège leurs conversations et l'usage qu'ils font du réseau Internet.

Une bonne idée devient, malheureusement, le pire des moyens d'écoute pour un attaquant, détournant l'usage d'une technologie devant protéger les flux sensibles des utilisateurs.

Le constat ne s'arrête pas à cette attaque : l'anonymat clef de voute du projet repose sur des machines intermédiaires. Ainsi, en Allemagne un administrateur d'un « node » de sortie du réseau TOR s'est vu saisir son ordinateur par la police dans le but d'identifier l'internaute utilisant ses ressources informatique via le réseau TOR.

Le projet TOR évolue sans cesse, mais je préfère personnellement l'histoire et l'engagement du réseau P2P Winny au Japon, qui avait pour but de proteger totalement les utilisateurs, il a été conçu par le docteur Isamu Kaneko.

Ce programme est plus réduit en terme de fonctionnalité, car il est basé presque uniquement sur l'échange de fichier sur le modèle du P2P. Il y a de nombreux mois son auteur s'est vu attaqué par le gouvernement Japonais, Mr Kaneko avait créé un logiciel P2P efficace mais qui comportait quelques failles notamment au niveau du forum interne au programme.

Ce qui est notable dans cette affaire, c'est le mouvement de solidarité qui a suivi cette arrestation de nombreux japonais ont ainsi versé des sommes conséquentes pour protéger le créateur du logiciel.

Dés lors, prés de 70000 euros ont été donnés à cette cause. Mais je me demande : « combien touchera un administrateur d'un noeud de sortie TOR pour se protéger quand il sera accusé d'avoir attaqué un site sensible en France ? », comment ça ce n’était pas lui... ben ça ...

En conclusion, Tor n'est peut être pas l'eden vendu à grand coup de publicités, son évolution ne changera jamais son problème de design : « la responsabilité légale de l’administrateur du nœud de sorti pourra toujours être engagée ».

Ce billet a été posté le Mardi 13 Novembre, 2007 à 17:04 dans la catégorie DIVERS. Vous pouvez Laisser une réponse, ou "trackback" provenant de votre site.