Titre de l'article : Retour sur le Hack Of The Year : TOR, votre meilleur ennemi
Auteur : Adrien GUINAULT, consultant sécurité XMCO
Couriel : adrien.guinault@xmco.fr
Date : Janvier 2008
Version complète en PDF : Actusécu n°18


Le réseau Tor est depuis quelques années, un des seuls moyens fiables pour naviguer anonymement sur Internet. Constitué de nombreux serveurs proxy (appelés « Noeuds Tor »), ce réseau permet, à l'aide d'une application installée sur son ordinateur, de surfer ou de consulter ses emails sans révéler son adresse IP.

Cet article tentera de vous présenter la face cachée de ce réseau considéré à tort comme un moyen sécurisé de surfer sur Internet. Pour cela, nous reviendrons sur l'histoire d'un jeune suédois devenu célèbre en publiant une liste de mots de passe confidentiels.


PRESENTATION DU RESEAU TOR

Qu'est ce que Tor?

Surfer anonymement sur Internet a toujours été une obsession de certaines personnes méfiantes.
Sommes-nous observés ? Qui peut surveiller nos allers et retours sur la toile ? Comment peut-on naviguer sur Internet sans avoir peur d'être surveillé ?
Toutes ces questions semblent avoir trouvé leurs réponses avec la création du logiciel Tor. En effet, depuis quelques années, une communauté d'internautes engagés permet à tous les internautes de naviguer sur la Toile en assurant l'anonymat de leurs allés et venus.

Tor, dont l'acronyme provient du terme Onion RouTer, est un réseau mondial créé en 2003 et constitué d'un ensemble de noeuds (proxy) mis en place par des internautes dans le but de relayer des paquets IP vers une destination finale.

Mode de fonctionnement

Le réseau Tor repose donc sur une communauté d'internautes qui offre des machines capables de relayer le trafic des autres utilisateurs Un internaute peut donc :
-profiter des relais installés par les autres utilisateurs
-installer un proxy sur leurs machines et de participer au développement du réseau Tor.

Le logiciel Tor est gratuit et téléchargeable sur le site officiel. Une fois installé, le logiciel Tor met en place un proxy local. Toute application, qu'il s'agisse d'Internet Explorer, d'Outlook ou de tout autre logiciel de communication, pourra profiter de ce proxy et communiquer au travers du réseau Tor.


Les connexions (http, IRC, SSH, POP) ne sont plus réalisées en direct, mais par l'intermédiaire de nombreux noeuds Tor. Ce cheminement rendra donc l'origine des connexions difficilement identifiable.
Lorsqu'une requête est soumise au proxy local, un itinéraire constitué de plusieurs relais vers le serveur final (serveur Z www.xmco.fr sur le schéma A) est choisi aléatoirement.
La traçabilité des connexions devient alors extrêmement difficile puisque plusieurs rebonds sont effectués avant d'atteindre le serveur ciblé.


LA SECURITE DU RESEAU TOR

Le principe d'anonymisation via le réseau Tor réside principalement dans sa méthode de chiffrement et dans son mode de routage. En effet, afin d'assurer la « confidentialité » des données, le réseau Tor utilise une technique de chiffrement qui évite, en principe, la lecture des données tout au long de leur itinéraire aléatoire.

Le routage

Le mode de routage utilisé est en charge de l'anonymisation des connexions. En effet, le client Tor choisit parmi les nombreux relais Tor, un chemin aléatoire avant d'arriver au serveur destination. Le client Tor établit alors un circuit international. Le paquet sera routé à travers plusieurs relais, ce qui rendra la source de la connexion difficilement identifiable.

Chacun des noeuds Tor utilisés par un paquet transitant via le réseau Tor connaît uniquement le noeud précédent et le noeud suivant. Ce dernier n'est alors pas en mesure de connaître le chemin complet emprunté par le paquet envoyé par l'internaute.

Le chiffrement

Le chiffrement constitue l'autre méthode qui assure, en principe, l'anonymat et la confidentialité des connexions. Avant que le paquet ne soit envoyé, le client Tor récupère chacune des clefs publiques des relais du circuit et chiffre les données de la manière suivante :
-Le paquet est chiffré avec la clef du dernier relais
-Le paquet obtenu est chiffré avec la clef du relai n-1
-...
Le chiffrement mis en place ne doit pas permettre à un élément du circuit de déchiffrer le message transmis. Pour cela, un mécanisme de clef publique/clef privée a été mis en place.
Lorsque le premier serveur reçoit le paquet, il peut le déchiffrer partiellement avec sa clef privée (il est le seul à posséder cette clef) mais le contenu du paquet reste toujours inaccessible puisque d'autres couches chiffrées encapsulent les données initiales.

Cette succession de couches évite ainsi qu'un des proxies du circuit ne déchiffre le paquet dans son intégralité et soit en mesure de lire les données en question...

Le paquet est ensuite transmis au prochain relai qui effectue la même opération jusqu'au dernier. Enfin, le dernier maillon de la chaine déchiffre la dernière couche avant d'envoyer les données en clair au serveur ciblé par l'internaute.

Tor et la sécurité

D'après ces premiers éléments, le réseau Tor peut paraître sûr. Circuit aléatoire, proxy, routage, chiffrement, ces quelques mots suffiraient au premier venu (qui ne souhaiterait pas approfondir les recherches où tout simplement lire la documentation) pour utiliser le réseau Tor en toute confiance. En revanche, les plus attentifs d'entre vous ont déjà été surpris à la vue du deuxième schéma.
En effet, un problème majeur remet en cause l'ensemble du fonctionnement sécuritaire du réseau Tor.
Tor assure l'anonymat, mais en aucun cas la stricte confidentialité des échanges.

Certes, le paquet reste chiffré pendant une bonne partie de son trajet, mais qu'en est-il pour le dernier brin du circuit ? Le dernier noeud Tor déchiffre la dernière couche du paquet et envoie les données en clair à la destination finale. Le noeud de sortie appelé également Exit Node est le seul maillon de la chaîne à avoir toutes les cartes en main pour lire les données de l'internaute...Oups...

Les développeurs du réseau Tor le soulignent bien dans leur documentation :

Tor anonymise l'origine de votre trafic et chiffre tout à l'intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale. Si vous envoyez des informations sensibles, vous devriez employer autant de précautions que lorsque vous êtes sur Internet - Utilisez HTTPS ou un chiffrement final similaire et des mécanismes d'authentification.

Cette phrase précise donc que toutes les communications qui n'utilisent pas nativement un mécanisme de chiffrement peuvent potentiellement être écoutées par des pirate...
Malheureusement, peu d'utilisateurs ont creusé dans la documentation pour se rendre compte qu'un trou de sécurité béant laisse leurs données à la portée du premier malin venu.

Depuis l'existence de ce réseau, la majeure partie des utilisateurs ont naïvement associé le concept d'anonymat au concept global de sécurité. Certes, Tor offre un réseau de maillons interconnectés permettant d'anonymiser la connexion, mais rien n'assure la sécurité des échanges de bout en bout...


LE HACK OF THE YEAR

Rappel des faits

En novembre 2007, un pirate suédois nommé Dan Erstad divulgue de nombreux mots de passe appartenant à de nombreuses ambassades, ministères et agences gouvernementales.
Dan Erstad devient rapidement une célébrité sur le net. Tout le monde s'interroge sur ce piratage spectaculaire et cherche à savoir par quels moyens Dan aurait eu accès à ces informations critiques.
Selon les premières rumeurs, le jeune homme aurait infiltré un réseau de communication lui permettant de récupérer plus d'un millier de données sensibles dont seulement une centaine aurait été rendue publique. Ergstad aurait obtenu toutes ces informations sans en dévoiler les détails ni même être considéré comme hors la loi.
Quelques jours plus tard, le Sydney Morning Herald qualifie cet acte de "Hack of the year", récompense attribuée au pirate le plus ingénu de l'année .

Comment as-t-il fait?

La méthode utilisée demeura quelques jours secrète.
Certains imaginaient alors que le pirate avait eu recours à des techniques de Man in the Middle évoluées (interception des données avant de les relayer vers la véritable destination) avec l'utilisation de certificats SSL...D'autres étaient certains que Egerstad avait piraté une agence secrète comme la NSA, ce qui justifierait l'accès à des données aussi confidentielles.
Grande déception pour les amateurs de hacking et d'intrusion dans les réseaux militaires américains, le pirate avait tout simplement positionné des noeuds Tor dans les 4 coins du monde et écouté leur trafic en sortie.
Le début de cette histoire remonte quelques mois en arrière. Le jeune homme travaillait pour une société de conseil en sécurité ce qui lui a permis de parcourir le monde afin de sécuriser des clients internationaux. L'idée de mettre en place plusieurs noeuds d'un réseau Tor lui vint alors à l'esprit. Quelques missions plus tard, 5 relais Tor étaient actifs sur Internet, prêt à espionner les utilisateurs du réseau Tor.
Après avoir fait la une des news sécurité sur Internet, Dan est arrêté par la police et est soupçonné d'avoir pénétré des serveurs étrangers. Relâché après quelques heures d'interrogatoires, ce jeune homme n'a toujours pas été inculpé à l'heure où nous écrivons l'article.


LA PREUVE PAR L 'EXEMPLE

Notre maquette

Rappelons tout d'abord que notre article et notre maquette ont seulement pour but d'alerter nos lecteurs des risques liés à l'utilisation de Tor, de vulgariser la sécurité informatique et de démystifier certains évènements marquants de l'année.
Nous n'expliquerons pas les étapes et astuces techniques que XMCO a utilisées pour monter une telle maquette. De plus, toute utilisation frauduleuse du trafic sniffé à partir du réseau Tor est clairement réprimandée comme l'explique la FAQ de TOR :

Should I snoop on the plaintext that exits through my Tor relay?
No. You may be technically capable of modifying the Tor source code or installing additional software to monitor or log plaintext that exits your node. However, Tor relay operators in the U.S. can create legal and possibly even criminal liability for themselves under state or federal wiretap laws if they affirmatively monitor, log, or disclose Tor users' communications, while non-U.S. operators may be subject to similar laws. Do not examine the contents of anyone's communications without first talking to a lawyer.

Il est possible de recréer un noeud Tor capable de reproduire le « Hack of the year ». Quelques heures après avoir installé notre Exit Node, une des adresses IP de notre laboratoire était alors répertoriée dans la communauté Tor.

Tous les internautes du réseau Tor peuvent potentiellement utiliser notre relai (en tant que noeud intermédiaire ou de sortie).
Afin d'obtenir des résultats parlant, nous avons laissé notre noeud actif durant 5 jours et 5 nuits afin d'analyser la nature des connexions en transit. Notre programme a donc analysé les paquets en sortie dans le but de réaliser des statistiques précises sur la nature des flux sortants de notre noeud.



Où en est-on deux mois après le Hack of the Year?

Les résultats obtenus sont déconcertants. En effet, deux minutes après avoir mis en place notre noeud Tor, des dizaines d'informations sont alors remontées. Après quelques jours de disponibilité, notre outil a pu comptabiliser près de 800 comptes de site web, 70 comptes IMAP et 44 comptes POP...



À partir des URL observées, il est facile de déduire une utilisation de Tor pour la navigation sur des blogs, des sites de messagerie, mais également l'accès à des sites proposant des Torrents, du contenu pornographique, des images et textes illégaux, etc. Plusieurs attaques de brute-force ont même été détectées.


LA LIMITE DE TOR

Le cadre juridique

La première question essentielle que l'on peut se poser concerne la responsabilité des utilisateurs et des participants au projet Tor. En effet, aucune loi française ne précise clairement les limites de l'utilisation des informations transitant sur sa machine et encore moins la responsabilité en cas d'acte de malveillance.
Le propriétaire d'un relai Tor utilisé pour pirater des sites web est-il légalement responsable des attaques issues de son relai ? Selon l'article L.323, la réponse est Oui. Mais quand est-il de l'observation des flux transitant par sa propre machine ? Il n'y a ni intrusion, ni modification d'un S.T.A.D. Dans ce cas précis, aucune loi française n'est clairement définie. Cependant, plusieurs notions du droit interviennent : respect et protection de la vie privée...

Qui utilise ce genre de réseau?

Le réseau Tor connaît un grand succès depuis ces dernières années. La plupart des utilisateurs utilisent ce réseau afin ne pas dévoiler leur adresse IP lors de la visite d'un forum ou d'un site web spécialisé. Dans certains pays, Tor est devenu un véritable outil pour la liberté d'expressions et pour la défense des droits de l'homme : blogueurs ou journalistes dissidents utilisent Tor pour de ne pas être jeté en prison pour avoir simplement critiqué le régime politique de leur pays.
Dans certains de ces pays qui régulent l'utilisation de l'Internet pour les compatriotes, Tor est le seul moyen d'accéder à des sites comme YouTube, Blogspot ou BBC WorldNews.
D'autres utilisent le procédé Tor pour ne pas être repérés par leurs concurrents ou par la police.

Les ambassades, en passant par les services secrets, les services de police, les amateurs de sites peu recommandables, les pirates ou même les services marketing de certaines entreprises, utilisent toutes Tor.
Nous utilisons Tor au sein du laboratoire XMCO lorsque nous analysons des malwares et surtout leurs canaux de contrôles C&C. En effet, nos adresses IP ont été plusieurs fois bannies des serveurs du RBN et d'autres serveurs pirates de contrôle de malwares. Ces derniers ne souhaitant pas être observés de trop près... Mais bien que Tor prétend ne pas avoir reçu beaucoup de plaintes et affirme que peu de pirates utilisent leur réseau, il est clair que cette communauté est toujours utilisée par les pirates et pour des utilisations illicites de l'Internet. Certes des méthodes plus furtives existent (hébergeurs Bullet Proof, compromission de machines étrangères, accès Wifi...) ,mais Tor est une solution légale et donc peu remise en cause par les autorités.


CONCLUSION

L'un des rêves de la plupart des pirates a toujours été de pouvoir sniffer les paquets transitant sur Internet. Cependant, aucun moyen ne permettait jusque-là de réaliser cet exploit, mis à part le piratage de routeurs d'opérateurs, généralement très bien sécurisés. Tor semble avoir ouvert une voie dans ce domaine.

Le Hack Of the Year a certainement posé de véritables problèmes internes lors de la publication des centaines de comptes. Les utilisateurs piégés ont certainement cru bien faire en utilisant Tor pour des raisons de confidentialités. Or, ces données n'auraient sans doute pas été sniffées si elles avaient été simplement envoyées en clair sur le net...



Actualite Securite

Notre newsletter "L'ActuSécu"


> Qui sommes-nous ?

+ La société

+ XMCO dans la presse