IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Même le réseau Tor n'échapperait pas à la surveillance de la NSA et du GCHQ
Selon un expert en sécurité

Le , par Francis Walter
19 commentaires

237PARTAGES

3  0 
Les diverses révélations d'Edward Snowden ont boosté l'utilisation du réseau Tor sur Internet. En effet, Tor (The oignon router) est un réseau qui permet de naviguer de manière sécurisée et anonyme. Ainsi, il permettrait de réduire de façon considérable les risques d'être espionné et de se faire voler des informations. Grâce à Snowden, le nombre d'utilisateurs au niveau mondial a augmenté d'environ 50 %, afin d'échapper à la surveillance de masse effectuée par la NSA et par son homologue de l'Angleterre, le GCHQ. Cependant, un Microsoft MVP du nom d'Andy Malone affirme que même avec l'utilisation du réseau Tor, les utilisateurs seraient toujours victimes d'espionnage de la part des agences gouvernementales.

« Il n'y a rien de réellement anonyme sur Internet. Si les pirates ou les organismes gouvernementaux vous veulent, ils vous obtiendront », dit-il. Il reconnaît néanmoins qu'il existe une bonne sécurité en utilisant le réseau Tor et qu'elle n'a jamais été rompue à ce jour. Cependant, les add-ons du réseau posséderaient des failles exploitables pouvant limiter le champ de sécurisation du réseau Tor. Pour rappel, l'anonymisation de la navigation par Tor consiste à faire un routage en oignon pour brouiller les données de l'utilisateur. Plus de 5 000 relais bénévoles sont utilisés à cet effet. Cela empêche l'identification de l'adresse IP réelle de l'utilisateur qui visite un site web donné. Selon Malone, le nombre d'utilisateurs serait passé à une moyenne de 60 000 à 80 000 utilisateurs par jour.

« Les failles de Tor sont dues à des applications tierces et add-ons, comme Flash. Si je faisais de la médecine légale sur vous et que je savais que vous êtes sur Tor, je ne me serais pas attaqué au réseau mais plutôt aux points faibles autour de lui », affirme t-il. Comme quoi, les utilisateurs devraient se méfier de l'utilisation des applications tierces et des add-ons sur le réseau Tor. La NSA et le GCHQ surveilleraient déjà certains relais du réseau et certains nœuds, afin de pouvoir trouver un moyen de briser sa sécurité. « Beaucoup de sites non indexés que vous voyez sur Tor ont aussi des pots de miel mis en place par la police pour surveiller et capturer les mauvaises personnes accédant à la substance noire », ajoute-il.

Jusque-là, Tor constituait une sorte d'échappatoire à la surveillance de masse des organismes gouvernementaux. Les internautes y trouvaient refuge car ils pouvaient naviguer en toute sécurité. Les déclarations d'Andy Malone laissent planer un doute sur l'utilisation de Tor et remettent sur le tapis la question de sécurité sur Internet. Existe-il vraiment un moyen de naviguer en toute sécurité sur Internet ? Telle est la question qui mériterait plus d'éclaircissements.

Source : The Inquirer

Et vous ?

Utilisez-vous le réseau Tor ?
Vous sentez-vous menacé(e) ?
Que pensez-vous des affirmations d'Andy Malone ?

Une erreur dans cette actualité ? Signalez-nous-la !

19 commentaires
Commenter Signaler un problème
Voyvode
Avatar de Voyvode
Membre émérite https://www.developpez.com
Le 20/05/2014 à 13:58
Je pense que même l'utilisation d'une sécurité contournable par la NSA peut leur poser des problèmes si elle est utilisée à grande échelle : Surveiller quelqu'un a un cout (financier, humain et puissance de calcul) et il faut que ce cout augmente globalement pour que la surveillance généralisée devienne extrêmement onéreuse.
6  0 
acx01b
Avatar de acx01b
Membre averti https://www.developpez.com
Le 20/05/2014 à 16:29
Que dit cet article ?

Retrouver quelqu'un de faiblement actif sur Tor est presque impossible : vous êtes la nsa, vous espionnez le trafic de xxxIllegalxxx.onion (ça suppose que vous avez réussi à trouver où est physiquement xxxIllegalxxx.onion, ok), vous voyez que 1 fois par semaine MrbenLaden se connecte, et là soit vous contrôlez tout le traffic d'internet et vous attendez 20000 connexions de MrbenLaden pour faire des stats hyper compliquées qui vous donnent une bonne probabilité d'avoir trouvé MrbenLaden, sauf bien sûr si celui-ci utilise un réseau de proxy en plus de Tor dans ce cas ça peut être 20000000 connexions de MrbenLaden qui seront nécessaires,

Soit vous exploiter une faille sur flash player qui permet d'installer un trojan sur n'importe quelle machine via une vidéo, et voila votre trojan s'installe sur la machine de MrbenLaden et vous divulgue sa vraie IP (et ce que voit sa webcam aussi tant qu'à faire).

Par contre pour trouver où est silkroad.onion, c'est beaucoup plus facile vu que c'est un serveur avec 500000 connexions par jour.
Supposons que vous avez moyen d'éteindre n'importe quel FAI d'un pays de l'OTAN pendant 20ms, ben vous les éteignez successivement jusqu'à trouver à quel moment ça rallonge les temps de réponse de silkroad, et voila vous faites ça tant que nécessaire pour remonter la chaîne de proxy.
5  0 
Zakhar
Avatar de Zakhar
Nouveau membre du Club https://www.developpez.com
Le 20/05/2014 à 23:56
Cet article (repris d'autres sources) est une affreux amalgame.

Il confond : TOR (le réseau)

et : TORBundle qui est un package contenant TOR + un navigateur (Firefox durci)

TOR en lui-même n'a pas de faille (connue).

Le Bundle oui, à l'évidence ! Ce ne sont pas des failles à proprement parler puisque le navigateur n'a pas été conçu pour ça à l'origine, c'est juste que le navigateur peut révéler votre "vraie" IP par bien des façons, notamment par des communications non TCP qui ne passent pas via TOR (UDP par ex., via JS, Flash, Java, ....)

Par contre si vous utilisez TOR en middlebox : http://www.howtoforge.com/how-to-set-up-a-tor-middlebox-routing-all-virtualbox-virtual-machine-traffic-over-the-tor-network, pas de problème (sauf des trucs vagues comme "corrélation de trafic".

Bref cet article ne fait qu'apporter de la confusion, c'est du fuzz savamment entretenu par les agences qui aimeraient mieux qu'on n'utilise pas TOR... et je croyais dev.com plus malin pour ne pas donner crédit à ce genre d'amalgame de désinformation.

Citation Envoyé par Lucas8 Voir le message
D'après ce que j'avais lu, Tor garantit (tant qu'il n'est pas cassé) l'anonymat, mais ne sécurise pas les données, qui continuent de circuler en clair sur le réseau, et sont donc à la merci de n'importe quel nœud. Tor doit être couplé avec d'autres technologies pour avoir un accès à la fois sécurisé et anonyme à internet. Et encore, il faut aussi se méfier de ce qui tourne sur son propre PC, et des informations qu'on transmet (même cryptées et anonyme) aux serveurs auxquels on accède.
C'est tout à fait vrai :
- un noeud de sortie fait ce qu'il veut de tes données, donc le http (non https) vous soumet au risque d'un noeud de sortie malveillant. Conclusion, sous TOR il vaut mieux n'utiliser que du https, ou du http où on ne donne AUCUNE donnée personnelle/risquant de révéler son identité.
- les "agences" peuvent aussi prendre les informations "à la source", avant qu'elles ne quittent votre PC... c'est tellement plus simple pour eux !.. Conclusion, mettre TOR dans Windows revient effectivement à installer une porte blindée alors que vous avez laissé les fenêtres ouvertes... je vous laisse seuls juge de l'utilité !
5  0 
elssar
Avatar de elssar
Membre actif https://www.developpez.com
Le 20/05/2014 à 11:40
Je pense que toute sécurité est relative. Pour le commun des mortels, ou même des pro, Tor, le cryptage et j'en passe sont suffisant. Et je dirais que c'est même suffisant pour la plupart des agences gouvernementales du monde.

Mais ici, on parle de la NSA. C'est la structure ayant le plus de mathématiciens/informaticiens au monde. C'est une machine de guerre à la pointe de la pointe.(Bon par contre pas si bien construite que ça, pour qu'un admin système "lambda" comme Snowden puisse avoir accès à autant d'info et surtout leurs documents ultra secrets).

L'année dernière j'avais discuté avec un pro de la sécurité réseau de chez cisco. Il m'avait dit, "De toute les façons c'est simple, tant que la NSA recrute des mathématiciens/informaticiens pour X système de cryptage, c'est qu'il l'ont pas encore cassé, une fois qu'il est cassé, le recrutement cesse, donc on peut en déduire ce qui est encore protégé ou non."

Je pense qu'à part faire comme les terroristes et donc ne plus se passer un seul message par technologie(que du bouche à oreille). Dès qu'on utilise un système électronique/informatique de communication, on est susceptible, qu'importe la complexité du système qu'on utilise, de se faire écouter.

Je pense que la vrais question que l'on doit se pauser. C'est est ce que oui ou non, les systèmes que nous utilisons, sont facilement contournables par la NSA ou difficilement.

Si Tor/cryptage permettent de se protéger de la collecte des données en masse, ça serait déjà un bon point. Car ça obligerait la NSA à consacrer du temps pour une personne ou un groupe spécifique, et donc à mettre du personnel sur notre dos. Dans ce cas là, on est noyé dans la masse des utilisateurs d'internet. Sauf si on s'amuse à mettre des mots comme "attentats, ben laden" à toutes nos phrases ou qu'on est une personne particulièrement importante .
3  0 
Mr_Exal
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 21/05/2014 à 9:47
« Les failles de Tor sont dues à des applications tierces et add-ons, comme Flash. Si je faisais la médecine légale sur vous et que je savais que vous êtes sur Tor, je ne me serais pas attaqué au réseau mais plutôt aux points faibles autour de lui » affirme t-il.
Alors déjà comme dit plus haut, gros amalgame entre le réseau Tor et TorBundle qui contient Firefox préconfiguré pour être utilisé avec le réseau Tor. Il faudra que le monsieur m'explique comment il installe et utilise un add-on sur un réseau

Maintenant, non il n'y a pas de failles dans TorBundle (enfin, si il y en a sûrement mais non imputables à Tor) et puis pour installer flash, java ou autre joyeuseté sur TorBundle et penser ne pas pouvoir être traçable il faut être sacrément naïf ou idiot (voire les deux).
2  0 
HelpmeMM
Avatar de HelpmeMM
Membre éprouvé https://www.developpez.com
Le 21/05/2014 à 10:09
quand on sait que Tor est subventionné a hauteur de 60% par le gouvernement américain , on peut aussi se poser des questions ...
2  0 
squizer
Avatar de squizer
Membre actif https://www.developpez.com
Le 21/05/2014 à 10:57
Citation Envoyé par Lucas8 Voir le message
D'après ce que j'avais lu, Tor garantit (tant qu'il n'est pas cassé) l'anonymat, mais ne sécurise pas les données, qui continuent de circuler en clair sur le réseau, et sont donc à la merci de n'importe quel nœud.
D'où cette hypothèse:
Si la NSA décide de créer 20'000 noeuds TOR (ce qui n'est même pas un problème de coût pour eux), on se retrouverait avec une gangrène de serveur espion au milieu du réseau TOR et une forte capacité de leur part à intercepter des messages.

Un expert TOR peut-il invalider cette hypothèse ?
2  0 
Avatar de
https://www.developpez.com
Le 21/05/2014 à 16:10
Citation Envoyé par Rubicon Voir le message
Question bête d'un ignorant de TOR et TOR Bundle.

une personne ayant un ordi équipé d'une distribution GNU/Linux comme système d'exploitation + TOR, et qui veut bêtement regarder des vidéos sur youtube ou un autre site quelconque. Je crois que ces vidéos utilisent Flash, non ? ou Adobe Flash...
et il y a certainement des formulaires web qui utilisent JS ou Java, non ?

Dans ce cas, faudrait-il s'auto-censurer dans sa navigation internet dès qu'une page internet utilise des technologies "vulnérables" dans le sens où elles ne permettent pas la conservation de l'anonymat (adresse IP)?
Lorsqu'on télécharge le Tor Browser Bundle, il est bien rappelé que pour garder l'anonymat :
- on ne doit utiliser que le Tor Browser,
- on ne doit pas lancer de Torrents,
- on ne doit pas activer ou installer le moindre plugins,
- on ne doit surfer que sur des sites https,
- on ne doit pas ouvrir de documents téléchargés alors qu'on est toujours on-line,
- on doit utiliser autant que possible des "Tor bridges" (relais qui ne sont pas listés dans le répertoire principal de Tor, vos potes de boulot par exemple).

Aprs, oui, effectivement, si on utilise Tor pour mater des videos sur youtube, dire bonjour à ses potes sur facebook, télécharger des DVD ou faire une recherche sur Goggle, je ne vois pas trop l'intérêt

J'aurais remplacé le titre

"Même le réseau Tor n'échapperait pas à la surveillance de la NSA et du GCHQ"

par

"La NSA et le GCHQ surveillent les stupides internautes qui n'utilisent pas Tor de façon sécurisée"

Steph
2  0 
Cyrilange
Avatar de Cyrilange
Membre averti https://www.developpez.com
Le 22/05/2014 à 18:13
En un mot : Tails !
2  0 
coolspot
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 20/05/2014 à 17:46
La sécurité absolu n'existe pas c'est sur. Mais passer par Tor permet d'éviter l'espionnage automatique et peu couteux. Certe l'utilisation de Tor ne garanti pas l'absolu anonymat et sécurité mais pour outre-passer cette sécurité il faut y mettre les moyens. Chose impossible pour de l'automatisation de l'espionnage si la grande majorité des personnes crypter leurs échanges d"informations de bout en bout sur Internet.

De toute façon c'est le grand problème d'Internet il n'a ni été conçu pour être sécurisé et encore moins pour être anonyme. A la base Internet c'est fait pour échanger des information avec tout le monde en clair.

De toute façon si internet avait été conçu pour être sécurisé et anonyme des protocole comme http, smtp, ftp, pop etc... n'existerait pas et il n'y aurait que leur équivalent en xxxS
1  0 
Commenter Signaler un problème