Sécuriser la navigation Web : Protéger le réseau Tor

: By Philipp Winter, Université de Princeton

Il existe plus de 865 outils de chiffrement Utilisées dans le monde entier, ces solutions s'attaquent à différents aspects d'un problème commun : la protection des données. Les individus souhaitent protéger leurs disques durs contre les gouvernements oppressifs, leur géolocalisation contre les harceleurs, leur historique de navigation contre les entreprises trop curieuses ou leurs conversations téléphoniques contre les voisins indiscrets. Toutes reposent sur la cryptographie, une technique délicate qui, lorsqu'elle est maîtrisée, permet une communication sécurisée malgré les tentatives d'espionnage.

Cependant, une cryptographie défaillante peut ouvrir des failles de sécurité béantes, un sort qui s'est déjà produit. de nombreuses populaire les systèmesMais sans connaissances et expérience techniques, les utilisateurs ne peuvent pas faire la différence entre les bons et les mauvais outils avant qu'il ne soit trop tard.

L'un des outils cryptographiques les plus populaires – avec deux millions d'utilisateurs quotidiens - est TorIl s'agit d'un réseau permettant de naviguer anonymement sur Internet. Il repose sur un vaste groupe de bénévoles, dont certains restent anonymes, ce qui peut soulever des questions quant à la fiabilité du système. Si des utilisateurs et des développeurs experts disposaient d'outils pour détecter les comportements suspects, ils pourraient identifier les problèmes et ainsi améliorer la fiabilité et la confiance de tous.

Comprendre Tor

Les gens utilisent Tor pour de nombreuses raisons : se renseigner sur les maladies, se protéger des violences conjugales, empêcher les entreprises de les profiler ou contourner la censure nationale, pour n'en citer que quelques-unes. Tor fonctionne en dissociant l'identité d'un utilisateur de son activité en ligne. Par exemple, lorsqu'on utilise Tor, des sites web comme Facebook ne peuvent pas connaître la localisation géographique d'un utilisateur, et les fournisseurs d'accès à Internet ne peuvent pas savoir quels sites un client consulte.

Le système fonctionne en connectant un utilisateur au site web souhaité via une séquence de connexions chiffrées, grâce à des ordinateurs inscrits sur le réseau. Le premier ordinateur de la chaîne, appelé « point d'entrée », connaît l'adresse réseau de l'utilisateur puisqu'il reçoit le trafic entrant. Cependant, le contenu étant chiffré, cet ordinateur ignore ce que l'utilisateur fait en ligne.

Le deuxième ordinateur de la chaîne ignore la localisation de l'utilisateur et se contente de transmettre le trafic à ce qu'on appelle le « relais de sortie ». Ce dernier déchiffre l'activité Internet de l'utilisateur et échange des données avec Internet en clair. Le relais de sortie sait ce que fait l'utilisateur en ligne, mais ne peut pas facilement identifier qui en est l'auteur.

Une fois que le relais de sortie reçoit les informations d'Internet, il les chiffre et les renvoie au maillon précédent de la chaîne. Chaque maillon procède de la même manière, jusqu'à ce que l'ordinateur d'origine reçoive et déchiffre les données, puis les affiche à l'utilisateur.

tor2 5 29 Structure du réseau Tor. Les clients Tor sélectionnent aléatoirement trois relais qui acheminent le trafic réseau entre le client et un serveur, par exemple Facebook. Si Tor chiffre le trafic réseau en interne (voir la ligne verte continue), il est important de comprendre que ce chiffrement n'est plus possible une fois que le trafic quitte le réseau Tor (voir la ligne rouge pointillée). Philip Winter

La plupart des gens utilisent le réseau Tor via le Tor BrowserIl s'agit d'une version modifiée du navigateur web Firefox, dotée de fonctionnalités supplémentaires pour protéger la vie privée des utilisateurs. Parmi celles-ci figurent des niveaux de sécurité configurables et des modules complémentaires tels que : HTTPS partout (utiliser des connexions Web sécurisées chaque fois que cela est possible) et NoScript (pour atténuer certaines faiblesses de JavaScript, entre autres). De plus, le navigateur Tor implémente techniques visant à rendre plus difficile le suivi des personnes en lignePar exemple, il désactive Flash et n'utilise que quelques polices, empêchant ainsi les sites web de identifier les utilisateurs en fonction des polices qu'ils ont installées.

Faire confiance au code

Le logiciel Tor est développé et distribué par une organisation à but non lucratif appelée le projet TorL'utilisation de Tor est gratuite ; son financement provient de contributeurs tels que… particuliers, entreprises, organisations à but non lucratif et gouvernementsConsciente des inquiétudes que pourraient susciter auprès du public les principaux bailleurs de fonds quant à l'identité des véritables décideurs, l'organisation s'efforce d'améliorer son indépendance financière : récemment, sa première Campagne crowdfunding ont permis de récolter plus de 200 000 dollars américains.

De plus, le projet Tor a exprimé ouvertement son engagement en faveur de la protection de la vie privée, notamment en soutenant la décision d'Apple de ne pas aider le FBI à accéder à un iPhone chiffré en intégrant une faille intentionnelle dans le logiciel de chiffrement – souvent appelée « porte dérobée ». Le projet Tor a déclaré : «Nous n'intégrerons jamais de porte dérobée dans notre logiciel.."

Techniquement parlant, les utilisateurs peuvent décider de faire confiance au système Tor en le vérifiant indépendamment. Le code source est disponible gratuitementet le projet Tor encourage les gens à examiner l'ensemble des quelque 200 000 lignes. programme de primes aux bogues récemment créé devrait encourager les développeurs et les chercheurs à identifier les problèmes de sécurité et à en informer les programmeurs du projet.

Cependant, la plupart des utilisateurs ne compilent pas eux-mêmes leurs programmes exécutables à partir du code source. Ils utilisent plutôt des programmes fournis par des développeurs. Comment évaluer leur fiabilité ? Les versions logicielles de Tor sont signées avec des signatures cryptographiques officielles et peuvent être téléchargées via des connexions chiffrées et authentifiées, garantissant ainsi aux utilisateurs l’authenticité du logiciel Tor, non modifié par des pirates.

De plus, Tor a récemment fait «constructions reproductibles« possible », ce qui permet aux bénévoles de vérifier que les programmes exécutables distribués par Tor n'ont pas été altérés. Cela peut garantir aux utilisateurs que, par exemple, les ordinateurs du projet Tor qui compilent les programmes exécutables ne sont pas compromis.

Faire confiance au réseau

Bien que le logiciel soit développé par le projet Tor, le réseau est géré par des bénévoles du monde entier qui l'exploitent ensemble. 7 000 ordinateurs relais en mai 2016.

Certain organisations Ils communiquent sur le fait qu'ils exploitent un ou plusieurs relais, mais beaucoup sont gérés par des opérateurs individuels qui ne rendent pas compte de leur participation. En mai 2016, plus d'un tiers des relais Tor ne permettaient pas de contacter leur opérateur.

Il est difficile de faire confiance à un réseau comptant autant d'utilisateurs inconnus. Tout comme dans les cafés proposant un Wi-Fi public, des attaquants peuvent intercepter le trafic réseau par voie hertzienne ou par d'autres moyens. exécutant des relais de sortie et espionnant les utilisateurs de Tor.

Détecter et supprimer les mauvais acteurs

Pour protéger les utilisateurs de Tor contre ces problèmes, mon équipe et moi développons deux outils logiciels libres – appelés carte de sortie et chasseur de sybil – qui permettent au projet Tor d’identifier et de bloquer les relais malveillants. Ces relais malveillants pourraient, par exemple, utiliser un logiciel de relais Tor obsolète, acheminer incorrectement le trafic réseau ou tenter de voler les mots de passe des utilisateurs de Tor.

Exitmap teste les relais de sortie, ces quelque mille ordinateurs qui font le lien entre le réseau Tor et le reste d'Internet. Pour ce faire, il compare le fonctionnement de tous ces relais. Par exemple, un testeur pourrait accéder directement à Facebook – sans passer par Tor – et enregistrer la signature numérique utilisée par le site pour garantir aux utilisateurs qu'ils communiquent bien avec Facebook. Ensuite, en exécutant exitmap, le testeur contacterait Facebook via chacun des mille relais de sortie Tor, en enregistrant à nouveau la signature numérique. Si un relais Tor renvoie une signature différente de celle envoyée directement par Facebook, exitmap génère une alerte.

Notre autre outil, Sybilhunter, détecte les ensembles de relais susceptibles d'être contrôlés par une seule personne, par exemple une personne qui pourrait utiliser ses relais pour lancer une attaque. Sybilhunter peut notamment générer des images illustrant les entrées et sorties des relais Tor du réseau. Les relais qui se connectent et se déconnectent simultanément pourraient être contrôlés par une seule personne.

tor3 5 29 Visualisation de la disponibilité de certains relais Tor pour une partie du mois de janvier 2014. Chaque ligne de pixels représente une heure, et chaque colonne un relais. Un pixel noir indique un relais en ligne, et un pixel blanc un relais hors ligne. Les blocs rouges mettent en évidence les relais fortement corrélés, susceptibles d'être gérés par une même personne. Philip Winter

Nos recherches ont mis en évidence de nombreux relais malveillants. Certains ont tenté de dérober les identifiants de connexion des utilisateurs à des sites populaires comme Facebook. Il était tout aussi fréquent de constater que certains relais étaient soumis à des systèmes de censure nationaux, bloquant l'accès à certains types de sites web, notamment pornographiques. Bien que les opérateurs de relais eux-mêmes ne modifient pas les résultats, cela contrevient à la philosophie du réseau Tor, qui stipule que son utilisation ne doit pas impliquer de filtrage de contenu. Nous avons également découvert quelques relais de sortie qui tentaient de voler l'argent des utilisateurs de Tor en interférant avec les transactions en Bitcoin.

Il est important de replacer ces résultats dans leur contexte. Bien que certaines attaques aient paru préoccupantes, les relais malveillants restent largement minoritaires et sont rarement rencontrés par les utilisateurs de Tor. Même si un relais de sortie choisi aléatoirement par un utilisateur s'avère malveillant, d'autres fonctionnalités de sécurité du navigateur Tor, comme le protocole HTTPS Everywhere mentionné précédemment, constituent des protections essentielles pour minimiser les risques.

A propos de l'auteur

Philipp Winter, chercheur postdoctoral en informatique, Université de Princeton

Cet article a été publié initialement le The Conversation. Lis le article original.

Livres connexes

{amazonWS:searchindex=Livres;keywords=réseau tor;maxresults=3}

pause

Merci de votre visite InnerSelf.com, où il y a 20,000+ des articles qui changent la vie et qui font la promotion de « Nouvelles attitudes et de nouvelles possibilités ». Tous les articles sont traduits en Plus de 30 langues. Souscrivez au magazine InnerSelf, publié chaque semaine, et au Daily Inspiration de Marie T Russell. Magazine InnerSelf est publié depuis 1985.

suivez InnerSelf sur

Langues disponibles

LES PLUS LUS

01 25 26 Âge des Poissons à l'âge du Verseau 5467918 vidéo

Transition de l'ère des Poissons à l'ère du Verseau

Ray Grasse

L'ère du Bélier a apporté un réveil de l'ego dirigé vers l'extérieur, mais l'ère des Poissons, plus féminine, a provoqué un nouveau sens de…

Doux mensonges

Robert Jennings, InnerSelf.com

Une histoire de blues sur l'illusion, l'identité et le miroir que l'on se tend pour se sentir puissant, désiré et vu. Doux mensonges…

Comment gérer les craintes de devenir vieux

Affronter ses peurs liées au vieillissement pour une vie meilleure

Pamela D. Blair, Ph.D.

Le vieillissement s'accompagne souvent de craintes liées à la maladie, à la dépendance et à l'insécurité financière. Pourtant, embrasser la vie et affronter ces peurs peut mener à…

Débloquer le bonheur par la bienveillance

Michael J. Chase

Découvrez comment la bienveillance peut transformer votre bonheur et contribuer à un monde plus compatissant. Cet article explore les profondes implications de la bienveillance…

Récupérer de la faible estime de soi de l'enfance

Récupération De Low Self-Esteem

Marilyn J. Sorensen, Ph.D.

Une faible estime de soi peut profondément affecter les individus de tous horizons, en faussant leur perception d'eux-mêmes et en freinant leur développement personnel.

L'exercice peut protéger le foie contre Booze

L'exercice aérobique protège contre les lésions hépatiques

Nathan Hurst, Université du Missouri

De nouvelles recherches suggèrent que l'exercice aérobique pourrait offrir des bienfaits protecteurs au foie contre les dommages causés par une consommation excessive d'alcool…

Réaffirmer les bonnes relations de responsabilité à l'ère de Greta

Elle est assise toute petite sur la grande scène, le visage déformé essayant de contenir ses émotions alors qu'elle s'efforce de repousser ses mots. au bord des larmes. Elle dit à ceux qui l'écoutent:

L'herbicide super populaire Roundup menace la biodiversité

Les rafles peuvent entraîner une perte de biodiversité, rendant les écosystèmes plus vulnérables à la pollution et au changement climatique, rapportent les chercheurs.

Comment un film muet éclaire le débat actuel sur le droit à l'oubli

En 1915, Gabrielle Darley tua un homme de la Nouvelle-Orléans qui l'avait entraînée dans une vie de prostitution. Elle a été jugée, acquittée du meurtre et, quelques années plus tard, elle vivait une nouvelle vie sous son mariage...

Comment les pandémies passées et présentes alimentent l'essor des méga-sociétés

En juin 1348, des gens en Angleterre ont commencé à signaler des symptômes mystérieux. Ils ont commencé comme légers et vagues: maux de tête, courbatures et nausées.

Nous devons connaître les algorithmes que le gouvernement utilise pour prendre des décisions nous concernant

Dans les systèmes de justice pénale, les marchés du crédit, les domaines de l'emploi, les processus d'admission dans l'enseignement supérieur et même les réseaux sociaux, les algorithmes basés sur les données guident désormais la prise de décision de manière à...

Quand le néolibéralisme s'est effondré et a emporté la démocratie avec lui

Partout où l'on regarde, la démocratie s'effrite. Et pas seulement chez les suspects habituels. Des parlements européens polis à la fédération américaine fracturée, et même au Canada…

Sécurisation de la navigation Web: protéger le réseau Tor