Résumé : Retour sur la collecte de plus d'un millier d'identifiants et de mots de passe de comptes email (dont des ambassades et des gouvernements) par la simple mise en place de noeuds pour le système Open Source Tor qui permet de rendre anonyme les communications de ses utilisateurs sur Internet.
Au mois d'août dernier, un pirate suédois, âgé de 22 ans et présenté comme chercheur en sécurité informatique indépendant, disait avoir infiltré un réseau global de communication utilisé notamment par de nombreuses ambassades afin de collecter des emails contenant des données dites sensibles ( lien http externe url:
[click] ) ; Dan Egerstad affirmait avoir réalisé cette « prouesse » à l'aide de logiciels gratuits et disponibles sur Internet et cela sans avoir eu à enfreindre une quelconque loi (l'appréciation et l'interprétation des faits lui étant toutes personnelles).
Parmi les autres utilisateurs de ce réseau, on retrouve des gouvernements ainsi que des organisations non-gouvernementales et des entreprises soit un ensemble de plus de mille comptes email au total ; l'origine de la divulgation de ces données est aujourd'hui officiellement connue.
Alors que certains émettaient déjà cette hypothèse avec l'utilisation de techniques comme le Man In The Middle et la présentation de faux certificats TLS/SSL ( MITM et spoofing TLS/SSL avec le tutorial Ettercap sur Secuobs - lien http externe url:
[click] ), c'est bien l'utilisation du système d'anonymisation Open Source Tor ( Voir le tutoriel sur Secuobs - lien http externe url:
[click] ) qui est à l'origine du problème mais le mal est ailleurs ; pas d'attaques de type MITM ici ni de forges de faux certificats TLS/SSL pour duper les utilisateurs.
Une simple capture du trafic de données transitant et quelques recherches en fait ; c'est surtout la façon non sécurisée avec laquelle le système Tor a été utilisé dans ce contexte qui est responsable de la divulgation. Pour rappel Tor est un système de la Electronic Frontier Fondation ( lien http externe url:
[click] ) ; la fondation EFF est spécialisée dans la défense des droits des citoyens dans le monde numérique.
Tor un système qui s'appuie sur les réseaux de type Onion Routing ( lien http externe url:
[click] ) qui comportent plusieurs centaines de noeuds afin de rendre anonymes les connexions qui utilisent le protocole de contrôle des transmissions TCP ( lien http externe url:
[click] ) pour les réseaux TCP/IP ( lien http externe url:
[click] ) ; en ce qui concerne l'UDP (User Datagram Protocol - lien http externe url:
[click] ) et le problème spécifique à la perte d'anonymat par les requêtes DNS, il est nécessaire de consulter la FAQ (Frequently Ask Questions) du site officiel de Tor ( lien https externe url:
[click] ).
Il aurait ainsi suffit à Dan Egerstad d'installer cinq noeuds Tor et d'effectuer une capture de trafic sortant (en clair) lorsque ces noeuds étaient promus et utilisés en tant que noeuds de sortie pour le réseau Tor afin de récupérer des données sensibles ; rappelons que l'installation, la configuration et l'utilisation de Tor sont grandement facilités par l'utilisation de l'interface de configuration Vidalia ( Voir l'article sur Secuobs - lien http externe url:
[click] ).
Il ne lui restait alors plus qu'à effectuer des recherches à l'aide d'expressions régulières sur ce trafic afin de récupérer les identifiants de connexions ainsi que les mots de passe relatifs aux comptes mails précédemment cités. Cette annonce est une demi-surprise dans la mesure où Tor rend anonyme vos connexions mais en rien il n'assure la confidentialité des données échangées.
Différents problèmes de sécurité ont également par le passé eu la possibilité d'affecter la sécurité de ces réseaux ( Bulletins de sécurité pour Tor sur Secumail le service d'archivage de Secuobs pour les newsletters sur la sécurité des systèmes et des réseaux - lien http externe url:
[click] ).
A moins que l'on ne s'assure soi-même de garantir cette confidentialité par l'usage dans le même temps d'applications d'authentification et de chiffrement (HTTP Over TLS - lien http externe url:
[click] OPENSSH - lien http externe url:
[click] , STUNNEL - lien http externe url:
[click] , OPENVPN - lien http externe url:
[click] , Off-the-Record GAIM/PIDGIN lien http externe url:
[click] ) comme il est indiqué, parmi d'autres recommandations toutes aussi importantes pour son utilisation, sur la page de téléchargement du site officiel de Tor ( lien http externe url:
[click] ) :
« Tor anonymise l'origine de votre trafic et chiffre tout à l'intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale ( lien https externe url:
[click] ). Si vous envoyez des informations sensibles, vous devriez employer autant de précautions que lorsque vous êtes sur l'internet normal — utilisez HTTPS ou un chiffrement final similaire et des mécanismes d'authentification. »
Pourquoi ne choisir que l'anonymat quand on peut en plus garantir la confidentialité des données ; l'absence de confidentialité entraînant généralement une perte de l'anonymat dans ce genre de situation avec l'analyse et la collecte de renseignements privés via les correspondances personnelles et professionnelles des utilisateurs. Le site officiel du projet Tor recommande vivement l'utilisation de Tor avec Mozilla Firefox et l'extension Torbutton ( lien https externe url:
[click] ) qui permet d'activer ou non l'utilisation de Tor par le navigateur Open Source ( lien http externe url:
[click] ).
Le qualificatif de Hack of the year, par le quotidien australien The Sidney Morning Herald ( lien http externe url:
[click] ), semble légèrement disproportionné et inadéquat dans la mesure où la situation n'est pas des plus étonnantes et qu'elle résulte plus de l'ignorance des utilisateurs sur le fonctionnement de ce système que d'une véritable prouesse technique de la part du « chercheur » ; Dan Egerstad étant tout de même à l'origine d'une des collectes de données sensibles les plus importantes de ce type et il y a fort à parier que cette affaire ne lui aura pas apporté que des amis.
Si Dan Egerstad l'a fait avec ses moyens et dans ces conditions (en quelques mois de capture) alors « tout le monde » peut le faire ; avec un peu d'imagination il n'y a qu'un pas pour apercevoir de nouveau le spectre du « Big Brother » cher à Orwell ( et pourquoi pas un prétendant au titre 2008 des Big Brother Awards ( lien http externe url:
[click] ).
Un podcast de l'interview par Patrick Gray de Dan Egerstad et du consultant américain en sécurité Sam Stover est également disponible ( lien http externe url:
[click] ) ; à lire aussi ce billet ( lien http externe url:
[click] ) sur le blog de Cédric Blancher ( Ingénieur-chercheur et responsable du département de recherche en sécurité informatique EADS - lien http externe url:
[click] ).
| Mini-Tagwall des articles publiés sur SecuObs : | |
| |
sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions |
| Mini-Tagwall de l'annuaire video : | |
| |
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop |
| Mini-Tagwall des articles de la revue de presse : | |
| |
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless |
