Magazine Internet

Tor : éviter les fuites de données

Publié le 28 octobre 2011 par Carlanoirci

Tout d’abord, tous les utilisateurs de TOR devraient s’assurer qu’ils utilisent la dernière version du package, dont les correctifs améliorent la sécurité. Bien que TOR offre un anonymat acceptable s’il est utilisé dans de bonnes conditions (se reporter à cette page), le trafic non crypté qu’il convoie peut être sniffé sur les « exit nodes« , en l’occurrence, les points de sortie du réseau Onion.

Tor : éviter les fuites de données

Si l’on décide de relayer le trafic passant par TOR, alors certaines requêtes des utilisateurs anonymes du réseau vont passer par le relais et il sera possible de placer un sniffer pour analyser les paquets non encryptés. Une capture de quelques minutes sous Wireshark, avec un filtre HTTP renvoie ceci :

Tor : éviter les fuites de données

10435 50.587320   192.168.1.10   91.226.182.249   HTTP   GET /dm/inscription_html2.php?act=ajax&subact=checkall&base=&email=sgdgegdgdgddd%40live.fr&date=20/08/1982&cp=45645&name=lauradidis&password=toto&sexe1=2&captcha= HTTP/1.1

 Analyse

La requête de l’utilisateur TOR vise à se connecter à un site web (adresse IP 91.226.182.249) qui semble se dédier aux rencontres. Comme ce serveur n’utilise pas HTTPS, on lit dans l’URL d’accès les paramètres utilisateur envoyés en clair pour l’inscription, email, date de naissance, name, password, sexe.

 Vulnérabilités de TOR

Récemment, une équipe de recherche française a affirmé avoir mis compromis l’anonymat de TOR sans pour autant en avoir publié la démonstration, une information reprise par IT Expresso qui n’a pas poussé l’enquête au-delà du copié-collé. Cette annonce est relativisée sur le blog de Tor Project qui attend toujours la publication de la faille.

Morale : TOR n’est qu’un outil d’anonymat : il est donc impératif de ne jamais envoyer d’informations sensibles sur des pages n’utilisant pas HTTPS.


Retour à La Une de Logo Paperblog

A propos de l’auteur


Carlanoirci 106 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazine