« Tor, conception, fonctionnement et limites » : différence entre les versions

Aller à la navigation Aller à la recherche
aucun résumé des modifications
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 44 : Ligne 44 :
Exitmap permet de détecter les manipulations du traffic en établissant une connexion Tor vers un leurre controllé par le Torproject (En sécurité informatique, on appelle ça un “pot de miel”, référence à un véritable pot de miel pour pièger les insectes). On sait ce qu’on envoie dans le réseau, et on regarde ce qui arrive sur le pot de miel. Si le traffic a été modifié, alors ça veut dire que le noeud de sortie modifie les trames réseau.
Exitmap permet de détecter les manipulations du traffic en établissant une connexion Tor vers un leurre controllé par le Torproject (En sécurité informatique, on appelle ça un “pot de miel”, référence à un véritable pot de miel pour pièger les insectes). On sait ce qu’on envoie dans le réseau, et on regarde ce qui arrive sur le pot de miel. Si le traffic a été modifié, alors ça veut dire que le noeud de sortie modifie les trames réseau.


Honeyconnector permet de détecter le sniffage passif du traffic (C’est à dire la récupération des information sans les modifier). Concrètement, on envoie via Tor un couple unique “identifiant/mot de passe” sur un pot de miel toujours controllé par le Torproject. Ensuite, si une tentative de connexion a lieu sur ce pot de miel, alors on sait que le noeud de sortie par lequel ce couple d’identifiant est passé l’a intercepté.
Honeyconnector permet de détecter le sniffage passif du traffic (C’est à dire la récupération des information sans les modifier). Concrètement, on envoie via Tor un couple unique “identifiant/mot de passe” sur un pot de miel toujours controllé par le Torproject. Ensuite, si une tentative de connexion a lieu ulterieurement sur ce pot de miel, alors on sait que le noeud de sortie par lequel ce couple d’identifiant est passé l’a intercepté.


Ce projet de recherche a mis en évidence 65 oignons pourris sur 1000 analysés, 40 qui modifiaient activement le traffic, 27 qui le sniffaient passivement, et 2 qui faisaient les deux. Le tor project fait régulièrement tourner Exitmap et Honeycollector pour trouver et bannir les oignons pourris. Pour la petite histoire sordide, sachez que cette étude a mis en évidence que les oignons pourris avaient beaucoup de similitudes et qu’on pouvait les classer en groupes. Un de ces groupes était constitué de 20 oignons pourris localisés en Russie qui collaboraient entre eux et étaient contrôlés par la même entité. La même chose a été observé pour un groupe localisé en Inde et un groupe décentralisé. De plus, les attaques ne sont pas systématique, mais avaient des destinations cibles spécifiques. Ainsi, le groupe russe ciblait exclusivement les connexions à Facebook. Ca veut dire que les oignons pourris ne sont pas tenus par des scripts kiddies ou des loups solitaires, mais par des entités organisées qui ont les moyens de faire tourner plusieurs dizaines de serveurs et d’analyser le gros paquet de données qui en résulte.
Ce projet de recherche a mis en évidence 65 oignons pourris sur 1000 analysés, 40 qui modifiaient activement le traffic, 27 qui le sniffaient passivement, et 2 qui faisaient les deux. Le tor project fait régulièrement tourner Exitmap et Honeycollector pour trouver et bannir les oignons pourris. Pour la petite histoire sordide, sachez que cette étude a mis en évidence que les oignons pourris avaient beaucoup de similitudes et qu’on pouvait les classer en groupes. Un de ces groupes était constitué de 20 oignons pourris localisés en Russie qui collaboraient entre eux et étaient contrôlés par la même entité. La même chose a été observé pour un groupe localisé en Inde et un groupe décentralisé. De plus, les attaques ne sont pas systématique, mais avaient des destinations cibles spécifiques. Ainsi, le groupe russe ciblait exclusivement les connexions à Facebook. Ca veut dire que les oignons pourris ne sont pas tenus par des scripts kiddies ou des loups solitaires, mais par des entités organisées qui ont les moyens de faire tourner plusieurs dizaines de serveurs et d’analyser le gros paquet de données qui en résulte.
Ligne 50 : Ligne 50 :
=== Le consensus ===
=== Le consensus ===


A la date du *date d’AJD*, le réseau Tor comporte *nombre de noeuds* dont *nombre de noeud de sortie*, ainsi que *nombre de bridges*. Cet inventaire est actualisée tous les jours sur le site de Tor Metrics. La liste de tous les noeuds Tor disponiblmes, à l’exception des bridges, est publique et consultable librement (Voici le consensus du 04/06/2017 à 21h00 contenant les IPs de tous les noeuds disponibles à ce moment : https://collector.torproject.org/recent/relay-descriptors/consensuses/2017-06-04-21-00-00-consensus).
A la date du *date d’AJD*, le réseau Tor comporte *nombre de noeuds* dont *nombre de noeud de sortie*, ainsi que *nombre de bridges*. Cet inventaire est actualisée tous les jours sur le site de Tor Metrics. La liste de tous les noeuds Tor disponibles, à l’exception des bridges, est publique et consultable librement (Voici le consensus du 04/06/2017 à 21h00 contenant les IPs de tous les noeuds disponibles à ce moment : https://collector.torproject.org/recent/relay-descriptors/consensuses/2017-06-04-21-00-00-consensus).


Un tel nombre de noeud, associé à leur volatilité (Les noeuds peuvent rentrer et sortir à leur gré du réseau, ou changer d’état et passer noeud gardien, ou alors être bannis parce que ce sont des oignons pourris) pose un problème de maintenance. Le Torproject a donc déployé une poignée de serveurs particuliers appellés les autorités d’annuaire. Les IPs de ces autorités d’annuaires sont codées directement à l’intérieur de chaque client Tor ce qui fait qu’il n’y a pas besoin de faire de résolution DNS pour obtenir ces IPs. Ces autorités d’annuaires sont au nombre de 9 et sont :
Un tel nombre de noeud, associé à leur volatilité (Les noeuds peuvent rentrer et sortir à leur gré du réseau, ou changer d’état et passer noeud gardien, ou alors être bannis parce que ce sont des oignons pourris) pose un problème de maintenance. Le Torproject a donc déployé une poignée de serveurs particuliers appellés les autorités d’annuaire. Les IPs de ces autorités d’annuaires sont codées directement à l’intérieur de chaque client Tor ce qui fait qu’il n’y a pas besoin de faire de résolution DNS pour obtenir ces IPs. Ces autorités d’annuaires sont au nombre de 9 et sont :


IP Nom de code Localisation
IP Nom de code Localisation


171.25.193.9 Maatuska Stockolm, Suède
171.25.193.9 Maatuska Stockolm, Suède
86.59.21.38 Tor26 Vienne, Autriche
86.59.21.38 Tor26 Vienne, Autriche
199.254.238.52         Longclaw Seattle, USA
199.254.238.52 Longclaw Seattle, USA
194.109.206.212         Dizum Amsterdam, Pays-Bas
194.109.206.212 Dizum Amsterdam, Pays-Bas
131.188.40.189         Gabelmoo Erlangen, Allemagne
131.188.40.189 Gabelmoo Erlangen, Allemagne
128.31.0.39 Moria1 Cambridge, Massachusetts, USA
128.31.0.39 Moria1 Cambridge, Massachusetts, USA
193.23.244.244         Dannenberg Hambourg, Allemagne
193.23.244.244 Dannenberg Hambourg, Allemagne
154.35.175.225         Faravahar Washington, USA
154.35.175.225 Faravahar Washington, USA
37.218.247.217         Bifroest Amsterdam, Pays-Bas
37.218.247.217 Bifroest Amsterdam, Pays-Bas


Le rôle de ces autorités d’annuaire est de maintenir toutes les heures un annuaire de tous les relais Tor disponible. Cet annuaire est appellé le consensus. Sur ces 9 serveurs, 8 gèrent les relais publics et 1 (Bifroest) gère les bridges.
Le rôle de ces autorités d’annuaire est de maintenir toutes les heures un annuaire de tous les relais Tor disponible. Cet annuaire est appellé le consensus. Sur ces 9 serveurs, 8 gèrent les relais publics et 1 (Bifroest) gère les bridges.
245

modifications

Menu de navigation