Tor : éviter les fuites de données

Posted on 28 octobre 2011

3


Tout d’abord, tous les utilisateurs de TOR devraient s’assurer qu’ils utilisent la dernière version du package, dont les correctifs améliorent la sécurité. Bien que TOR offre un anonymat acceptable s’il est utilisé dans de bonnes conditions (se reporter à cette page), le trafic non crypté qu’il convoie peut être sniffé sur les « exit nodes« , en l’occurrence, les points de sortie du réseau Onion.

Si l’on décide de relayer le trafic passant par TOR, alors certaines requêtes des utilisateurs anonymes du réseau vont passer par le relais et il sera possible de placer un sniffer sur le serveur pour analyser les paquets non encryptés. Une capture de quelques minutes sous Wireshark, avec un filtre HTTP renvoie ceci :


10435 50.587320   192.168.1.10          91.226.182.249        HTTP     GET /dm/inscription_html2.php?act=ajax&subact=checkall&base=&email=sgdgegdgdgddd%40live.fr&date=20/08/1982&cp=45645&name=lauradidis&password=toto&sexe1=2&captcha= HTTP/1.1

 Analyse

La requête de l’utilisateur TOR vise à se connecter à un site web (adresse IP 91.226.182.249) qui semble se dédier aux rencontres. Comme ce serveur n’utilise pas HTTPS, on lit dans l’URL d’accès les paramètres utilisateur envoyés en clair pour l’inscription, email, date de naissance, name, password, sexe.

 Vulnérabilités de TOR

Récemment, une équipe de recherche française a affirmé avoir mis compromis l’anonymat de TOR sans pour autant en avoir publié la démonstration, une information reprise par IT Expresso qui n’a pas poussé l’enquête au-delà du copié-collé. Cette annonce est relativisée sur le blog de Tor Project qui attend toujours la publication de la faille.

Morale : TOR n’est qu’un outil d’anonymat : il est donc impératif de ne jamais envoyer d’informations sensibles sur des pages n’utilisant pas HTTPS. Attention : les utilisateurs de Firefox doivent impérativement changer la valeur du paramètre network.dns.disablePrefetch et lui attibuer TRUE, faute de quoi les requêtes DNS ne passent pas par le proxy et révèlent la véritable IP du surfeur. Pour ce faire, taper about:config dans la barre d’adresse et rechercher « network.dns » puis changer la valeur à true

Publicités