Ce billet évoque les problèmes liés à l'utilisation de Tor sans caractère technique. J'essaie de regarder le côté humain des choses, et je suis assez préoccupé par le mème Tor comme "solution de panacée aux problèmes arbitraires en matière d'infosec". Je ne veux pas particulièrement combattre le culte de l'activiste de la vie privée qui s'est développé autour de Tor, mais je me sens obligé d'exprimer mes préoccupations. (De plus, j'ai été interpellé par Dan Guido qui écrit sur le même sujet).
Les professionnels du contre-espionnage et de la sécurité vous diront que vous devez respecter des règles de fonctionnement rigoureuses pour conserver une solide sécurité. Que vous devez élaborer un modèle de menace, déterminer ce que vous essayez de protéger, puis élaborer et exécuter un plan qui assurera cette protection. Cette séquence a même été codifiée dans le processus OPSEC en cinq étapes. Il est évident, si vous pensez à la sécurité (et/ou à la vie privée), que vous devez suivre cette procédure.
Les apôtres de "les outils d'abord" aiment promouvoir "l'utilisation de ceci" comme si cet outil allait exécuter toutes les étapes de la procédure pour vous. Ensuite, tout outil qui ne parvient pas à traiter une menace réelle, ou à fournir la protection appropriée, peut être blâmé pour ne pas traiter des modèles de menace arbitraires. Toute la démarche est à l'envers.
C'est une erreur : Tor protège les personnes dans les régimes oppressifs
Cela ne fonctionne pas bien pour eux. Dans presque tous les cas, un bon VPN est plus sûr (par exemple, il ne coopère pas avec les autorités judiciaires vietnamiennes) et offre les mêmes protections :
A bien des égards, Tor peut être plus risqué qu'un VPN :
1. Les VPN ne sont (généralement) pas activement malveillants
2. Les VPN fournissent une bonne protection que Tor ne peut tout simplement pas fournir - "Je l'utilisais pour regarder des vidéos Hulu" est bien mieux que de dire - "J'essayais juste d'acheter des drogues illégales en ligne".
Cela ne fonctionne pas bien pour eux. Dans presque tous les cas, un bon VPN est plus sûr (par exemple, il ne coopère pas avec les autorités judiciaires vietnamiennes) et offre les mêmes protections :
- transfert géographique
- le camouflage de l'adresse ip, et
- "le chiffrement des données"
A bien des égards, Tor peut être plus risqué qu'un VPN :
1. Les VPN ne sont (généralement) pas activement malveillants
2. Les VPN fournissent une bonne protection que Tor ne peut tout simplement pas fournir - "Je l'utilisais pour regarder des vidéos Hulu" est bien mieux que de dire - "J'essayais juste d'acheter des drogues illégales en ligne".
En tant que personne qui travaille avec des journalistes d'investigation (parmi d'autres groupes à risque) et qui a besoin de se protéger, le seul avantage de Tor est qu'il est gratuit et essentiellement sans problèmes de mise en place et d'utilisation. Ces gens sont des néophytes, donc "téléchargez et utilisez cet outil gratuit et vous êtes magiquement en sécurité" est un message qui leur convient parfaitement.
"Téléchargez et exécutez cet outil gratuit et vous obtenez un proxy / VPN gratuit ; oh, oui, mais vous vous démarquerez comme un putain de bâton lumineux et vous n'avez aucune bonne raison de l'utiliser hormis comme un moyen d'échapper aux autorités de l'État. Bonne chance pour expliquer cela quand ils vous poseront des questions gênantes".
Tor n'est pas un problème nouveau pour les Etats, ils travaillent sur des solutions depuis des années, qui incluent l'injection de nœuds malveillants. Nous avons vu cela à de nombreuses reprises. C'est une conjecture raisonnable de supposer qu'un pourcentage significatif des noeuds Tor sont contrôlés par Mallory.
"Téléchargez et exécutez cet outil gratuit et vous obtenez un proxy / VPN gratuit ; oh, oui, mais vous vous démarquerez comme un putain de bâton lumineux et vous n'avez aucune bonne raison de l'utiliser hormis comme un moyen d'échapper aux autorités de l'État. Bonne chance pour expliquer cela quand ils vous poseront des questions gênantes".
Tor n'est pas un problème nouveau pour les Etats, ils travaillent sur des solutions depuis des années, qui incluent l'injection de nœuds malveillants. Nous avons vu cela à de nombreuses reprises. C'est une conjecture raisonnable de supposer qu'un pourcentage significatif des noeuds Tor sont contrôlés par Mallory.
Le navigateur Tor est à haut risque
[Tor Browser Bundle] réduit le ciblage des navigateurs au niveau de l'état à un petit ensemble de versions de Firefox ; TBB est le navigateur le plus risqué que vous puissiez utiliser - Thomas Ptacek (paraphrasant Bruce Leidl)
Le pack de navigation Tor est le pire navigateur possible. C'est la vérité. Pour comprendre le raisonnement, il y a quelques problèmes clés :
[Tor Browser Bundle] réduit le ciblage des navigateurs au niveau de l'état à un petit ensemble de versions de Firefox ; TBB est le navigateur le plus risqué que vous puissiez utiliser - Thomas Ptacek (paraphrasant Bruce Leidl)
Le pack de navigation Tor est le pire navigateur possible. C'est la vérité. Pour comprendre le raisonnement, il y a quelques problèmes clés :
- Monoculture
- Firefox manque d'éléments de sécurité essentiels
- Planning de " sortie rapide " de Firefox
L'anonymat a besoin d'homogénéité - La sécurité n'en a pas besoin
L'anonymat est essentiellement une propriété d'un système qui garantit que tout utilisateur est également susceptible d'être la source d'un événement (communication, transaction, quoi que ce soit.) C'est l'une des raisons pour lesquelles le Pack de Navigation Tor est si fortement sollicité - il crée un large bassin d'utilisateurs homogènes. C'est une bonne chose pour l'anonymat.
Les utilisateurs homogènes sont mauvais pour la sécurité car cela crée une monoculture, ce qui signifie que les mêmes bugs sont présents dans toute la communauté. C'est généralement considéré comme mauvais pour la sécurité (bien que ce ne soit pas un premier principe, juste une bonne règle de base).
La sécurité par la diversité est une chose. Elle permet une segmentation naturelle - les petits groupes de populations ont des traits vulnérables qui ne sont pas largement partagés par tout le monde. La diversité est donc un état souhaitable pour la sécurité (parfois.) La diversité est évidemment moins bonne pour l'anonymat parce que plus le groupe d'utilisateurs homogènes est grand, plus tout le monde est en sécurité (le risque est réparti dans le groupe et devient diffus.) Plus il y a de personnes potentielles qui pourraient être suspectes, plus il est difficile de déterminer qui est réellement responsable. C'est en tout cas la théorie...
La façon dont le pack de navigation Tor atteint cette homogénéité est en utilisant une version modifiée du navigateur Firefox "extended support release". Maintenant, pourquoi ce n'est pas idéal.
L'anonymat est essentiellement une propriété d'un système qui garantit que tout utilisateur est également susceptible d'être la source d'un événement (communication, transaction, quoi que ce soit.) C'est l'une des raisons pour lesquelles le Pack de Navigation Tor est si fortement sollicité - il crée un large bassin d'utilisateurs homogènes. C'est une bonne chose pour l'anonymat.
Les utilisateurs homogènes sont mauvais pour la sécurité car cela crée une monoculture, ce qui signifie que les mêmes bugs sont présents dans toute la communauté. C'est généralement considéré comme mauvais pour la sécurité (bien que ce ne soit pas un premier principe, juste une bonne règle de base).
La sécurité par la diversité est une chose. Elle permet une segmentation naturelle - les petits groupes de populations ont des traits vulnérables qui ne sont pas largement partagés par tout le monde. La diversité est donc un état souhaitable pour la sécurité (parfois.) La diversité est évidemment moins bonne pour l'anonymat parce que plus le groupe d'utilisateurs homogènes est grand, plus tout le monde est en sécurité (le risque est réparti dans le groupe et devient diffus.) Plus il y a de personnes potentielles qui pourraient être suspectes, plus il est difficile de déterminer qui est réellement responsable. C'est en tout cas la théorie...
La façon dont le pack de navigation Tor atteint cette homogénéité est en utilisant une version modifiée du navigateur Firefox "extended support release". Maintenant, pourquoi ce n'est pas idéal.
Comment cela est-il fabriqué ?
Mozilla, la société qui fabrique Firefox, a formalisé un calendrier de sortie pour gérer leur développement. Il est basé sur des fenêtres fixes (6 semaines) où les builds se succèdent en cascade sur une série de canaux différents (Nightly, Aurora, etc.), avec à chaque fois plus de corrections de bugs et de stabilité. C'est une façon transparente et parfaitement acceptable de gérer un projet logiciel (Chrome a une série de canaux similaires, bien qu'ils se déplacent beaucoup plus rapidement et selon un calendrier non fixe).
Mozilla, la société qui fabrique Firefox, a formalisé un calendrier de sortie pour gérer leur développement. Il est basé sur des fenêtres fixes (6 semaines) où les builds se succèdent en cascade sur une série de canaux différents (Nightly, Aurora, etc.), avec à chaque fois plus de corrections de bugs et de stabilité. C'est une façon transparente et parfaitement acceptable de gérer un projet logiciel (Chrome a une série de canaux similaires, bien qu'ils se déplacent beaucoup plus rapidement et selon un calendrier non fixe).
- Mozilla publie des versions de Nightly builds tous les jours (en gros)
- Les constructions d'Aurora sont publiées toutes les 6 semaines
- Les versions bêta sont des corrections de bogues d'Aurora, toutes les 6 semaines
- Les "release builds" sont les versions finales de la bêta, toutes les 6 semaines
- Les versions de support étendues sont des versions avec tous les bogues critiques et de haute sécurité corrigés, environ toutes les 6 semaines.
Certains parlent de "fenêtre de vulnérabilité", d'autres de "fenêtre d'opportunité
La conclusion est évidente - le Pack de Navigation Tor est basé sur une base de code qui peut avoir publiquement patché des bugs critiques ou élevés qui datent de plusieurs mois. Et tous les bugs moyens et bas ne sont tout simplement jamais corrigés (des jours éternels, comme on les appelle parfois.)
Un adversaire peut faire un certain nombre de choses pour attaquer le TBB, par exemple :
1. Surveiller les vulnérabilités critiques/élevées patchées dans les canaux les moins stables (Nightly, Aurora, Beta) et ensuite vérifier si la vulnérabilité existe et est exploitable dans le TBB. Ils ont une fenêtre d'exposition qui peut durer des semaines ou des mois.
2. Enchaînez une série de vulnérabilités moyennes/faibles jusqu'à ce qu'elles obtiennent le niveau d'accès requis, par exemple l'exécution de code à distance. Elles ont une fenêtre d'exposition permanente.
3. Trouvez une vulnérabilité inconnue et non corrigée dans Firefox (ou dans les dizaines de bibliothèques qu'il utilise) qui est exploitable dans le Pack de Navigation Tor. La fenêtre d'exposition peut être de plusieurs années ou simplement de quelques jours.
Ce que fait le Pack de Navigation Tor est essentiellement de concentrer toute la recherche de vulnérabilité sur une seule cible à faible vitesse et mal défendue. La monoculture qui offre un anonymat protecteur - se cacher dans le troupeau - expose le troupeau aux mêmes vulnérabilités. Et tout le monde recherche ces vulnérabilités.
Si la seule chose qui vous sépare de votre résultat négatif est un bug dans le pack de navigation Tor, préparez-vous à voir votre résultat négatif.
La conclusion est évidente - le Pack de Navigation Tor est basé sur une base de code qui peut avoir publiquement patché des bugs critiques ou élevés qui datent de plusieurs mois. Et tous les bugs moyens et bas ne sont tout simplement jamais corrigés (des jours éternels, comme on les appelle parfois.)
Un adversaire peut faire un certain nombre de choses pour attaquer le TBB, par exemple :
1. Surveiller les vulnérabilités critiques/élevées patchées dans les canaux les moins stables (Nightly, Aurora, Beta) et ensuite vérifier si la vulnérabilité existe et est exploitable dans le TBB. Ils ont une fenêtre d'exposition qui peut durer des semaines ou des mois.
2. Enchaînez une série de vulnérabilités moyennes/faibles jusqu'à ce qu'elles obtiennent le niveau d'accès requis, par exemple l'exécution de code à distance. Elles ont une fenêtre d'exposition permanente.
3. Trouvez une vulnérabilité inconnue et non corrigée dans Firefox (ou dans les dizaines de bibliothèques qu'il utilise) qui est exploitable dans le Pack de Navigation Tor. La fenêtre d'exposition peut être de plusieurs années ou simplement de quelques jours.
Ce que fait le Pack de Navigation Tor est essentiellement de concentrer toute la recherche de vulnérabilité sur une seule cible à faible vitesse et mal défendue. La monoculture qui offre un anonymat protecteur - se cacher dans le troupeau - expose le troupeau aux mêmes vulnérabilités. Et tout le monde recherche ces vulnérabilités.
Si la seule chose qui vous sépare de votre résultat négatif est un bug dans le pack de navigation Tor, préparez-vous à voir votre résultat négatif.
Remarques finales
Firefox est l'un des navigateurs les plus faibles en termes d'atténuation des risques d'exploitation, ce qui le rend moins sûr à utiliser que les autres. L'offre groupée de navigateurs Tor est à l'extrémité de la chaîne de patchs (dont elle ne reçoit qu'un ensemble de patchs minimal), ce qui en fait un choix risqué pour vaincre les ennemis au sein de l'État.
Les modèles de menace qui incluent un adversaire passif global, ou un adversaire capable au niveau d'un état, ou un adversaire qui n'a pas besoin d'une adresse IP pour mener une enquête, ne sont pas bien protégés par Tor.
Firefox est l'un des navigateurs les plus faibles en termes d'atténuation des risques d'exploitation, ce qui le rend moins sûr à utiliser que les autres. L'offre groupée de navigateurs Tor est à l'extrémité de la chaîne de patchs (dont elle ne reçoit qu'un ensemble de patchs minimal), ce qui en fait un choix risqué pour vaincre les ennemis au sein de l'État.
Les modèles de menace qui incluent un adversaire passif global, ou un adversaire capable au niveau d'un état, ou un adversaire qui n'a pas besoin d'une adresse IP pour mener une enquête, ne sont pas bien protégés par Tor.
source :
https://medium.com/@thegrugq/tor-and-its-discontents-ef5164845908
Miroir :
https://app.sigle.io/linkzilla1.id.blockstack/NpvzjS6qSOzb_3L8hmXae