Tor : des relais pour espionner le dark web
Prenez note que cet article publié en 2016 pourrait contenir des informations qui ne sont plus à jour.
Des chercheurs de l'Université Northeastern ont trouvé des relais qui espionnent le web sombre, ou dark web, qui est peut-être moins à l'abri des regards qu'on ne le croyait.
Sur Internet, comme ailleurs, la perfection n'existe pas. Dans un billet de novembre dernier où je recensais les technologies les plus importantes selon Edward Snowden pour protéger sa vie privée, le navigateur Tor se démarquait parmi les éléments essentiels. Ce dernier permet de rendre nos activités en ligne anonymes. C'est le moyen, entre autres, qu'a utilisé Snowden pour sécuriser ses communications avec Poitras et Greenwald.
Tor fonctionne sur le principe de l'oignon. Quand un utilisateur s'y connecte, des couches de cryptage s'ajoutent au message. Ce dernier passe par plusieurs serveurs intermédiaires, comme pour détourner l'attention, avant d'arriver à sa destination finale. Mais voilà, Tor n'est pas infaillible. La force du réseau anonyme Tor s'appuie sur des relais dont environ le quart constitue des relais de sortie. Ce sont eux qui font le pont entre le réseau et le reste d'Internet. On savait déjà que ces relais de sortie pouvaient être manipulés de sorte que le contenu envoyé par les utilisateurs de Tor ne soit plus anonyme. Or, une nouvelle faille vient s'ajouter à celle-ci.
Une nouvelle faille
D'autres types de relais-espions viennent d'être dévoilés par une nouvelle étude de l'Université Northeastern. Ces relais modifiés permettent à ceux qui sont derrière de trouver les adresses de sites qui sont supposés être secrets sur le web sombre.
Si le web regroupe les sites indexés et accessibles, le web profond (deep web) contient les sites accessibles mais non indexés, et le web sombre (dark web) est cette dernière couche où les services sont cachés. Pour rejoindre cette dernière, on doit passer par un réseau comme Tor.
Il faut aussi savoir qu'il n'est pas forcément facile de trouver un service caché sur le web sombre. Il n'existe pas de moteur de recherche aussi efficace que Google, et tous les sites ne sont pas référencés. Dans bien des cas, le seul moyen de trouver un site caché est de connaître son adresse. Mais maintenant, on sait qu'il en existe un autre.
Les relais-espions
Les chercheurs de l'Université Northeastern ont créé 4500 adresses cachées en 72 jours en passant par Tor. Ils n'ont jamais parlé de ces sites nulle part et ceux-ci ne contenaient rien d'intéressant. Ils savaient donc que si ces adresses établissaient des connexions, c'était parce qu'un système espionnait le circuit qui passait par le réseau Tor.
Au moins 110 de ces relais-espions ont tenté d'en savoir plus sur les adresses secrètes. La plupart étaient hébergées aux États-Unis, mais il y en avait aussi en Allemagne, en France et dans d'autres pays européens. Cela dit, ça ne veut pas dire que les gens qui les ont mis en place se trouvent dans ces pays, puisqu'il est très simple d'exploiter un serveur à distance. De plus, plus de la moitié des 110 relais étaient hébergés dans le nuage, ce qui rend l'identification de leurs exploitants plus ardue.
Personne ne sait qui sont ces gens : des criminels, des agents gouvernementaux, des chercheurs, des enquêteurs qui cherchent des revendeurs de drogue? En tout cas, la plupart du temps, il ne s'agit pas de simples observateurs. Ces gens cherchent des failles dans le serveur web qui permettraient d'en savoir plus sur le service caché ou sur ses créateurs.
Ce type d'attaque avait déjà été envisagé par les administrateurs de Tor qui travaillaient à restructurer leur système de services cachés. Les voilà pris de court. Les chercheurs présenteront les résultats de leur recherche en août à la conférence Def Con.
