Tout d’abord, tous les utilisateurs de TOR devraient s’assurer qu’ils utilisent la dernière version du package, dont les correctifs améliorent la sécurité. Bien que TOR offre un anonymat acceptable s’il est utilisé dans de bonnes conditions (se reporter à cette page), le trafic non crypté qu’il convoie peut être sniffé sur les « exit nodes« , en l’occurrence, les points de sortie du réseau Onion.
Si l’on décide de relayer le trafic passant par TOR, alors certaines requêtes des utilisateurs anonymes du réseau vont passer par le relais et il sera possible de placer un sniffer pour analyser les paquets non encryptés. Une capture de quelques minutes sous Wireshark, avec un filtre HTTP renvoie ceci :
10435 50.587320 192.168.1.10 91.226.182.249 HTTP GET /dm/inscription_html2.php?act=ajax&subact=checkall&base=&email=sgdgegdgdgddd%40live.fr&date=20/08/1982&cp=45645&name=lauradidis&password=toto&sexe1=2&captcha= HTTP/1.1
Analyse
La requête de l’utilisateur TOR vise à se connecter à un site web (adresse IP 91.226.182.249) qui semble se dédier aux rencontres. Comme ce serveur n’utilise pas HTTPS, on lit dans l’URL d’accès les paramètres utilisateur envoyés en clair pour l’inscription, email, date de naissance, name, password, sexe.
Vulnérabilités de TOR
Récemment, une équipe de recherche française a affirmé avoir mis compromis l’anonymat de TOR sans pour autant en avoir publié la démonstration, une information reprise par IT Expresso qui n’a pas poussé l’enquête au-delà du copié-collé. Cette annonce est relativisée sur le blog de Tor Project qui attend toujours la publication de la faille.
Morale : TOR n’est qu’un outil d’anonymat : il est donc impératif de ne jamais envoyer d’informations sensibles sur des pages n’utilisant pas HTTPS.