Tor (réseau)

Pour les articles homonymes, voir Tor.

Tor
Développeurs	Roger Dingledine Nick Matthewson
Dernière version	0.2.2.34 (27 octobre 2011) [+/-]
Version avancée	0.2.2.30-rc (14 juillet 2011) [+/-]
Environnements	Multiplate-forme
Licence	Licence BSD
Site web	www.torproject.org
modifier

The Onion Router (Tor) (littéralement : le routage en oignon) est un réseau mondial décentralisé de routeurs, organisés en couches, appelés nœuds de l’oignon, dont la tâche est de transmettre de manière anonyme des paquets TCP. C’est ainsi que tout échange Internet basé sur TCP peut être rendu anonyme en utilisant Tor. C'est un logiciel libre distribué sous licence BSD révisée.

Le projet Tor reçoit le prix du logiciel libre 2010 pour les projets d’intérêt social^[1] lors de la conférence LibrePlanet 2011.

Le routage en oignon dans Tor

Le routage en oignon fut conçu à partir de l’appréciation des carences des systèmes pré-existants (notamment les serveurs mandataires) qui ne suffisent pas à garantir l’anonymat d’un individu.

Tor est la seconde génération de système de routage en oignon (la première génération contenait beaucoup de défauts et n’a donc jamais eu de vrai succès). Il a donné naissance au projet Commotion^[2].

Vue d'ensemble

Le routage en oignon utilise diverses techniques pour faire rebondir un échange TCP au sein d’Internet afin que des analyses de trafic sur une partie du réseau (notamment par attaque de l'homme du milieu) ne puissent pas identifier un utilisateur. Dans la suite de l’article, on suppose vouloir échanger un paquet entre un client et un serveur (voir Client-serveur).

Construction d'un circuit

En « + » vert les ordinateurs tor, en rouge le chemin en clair et en vert un chemin crypté. Après un certain temps le circuit change aléatoirement.

Ayant accès à la liste des nœuds de Tor, chaque client doit y choisir un chemin aléatoire (il pourra en changer au bout d’un certain intervalle de temps), puis construit un « circuit » au sein duquel chaque nœud a la propriété de connaître son prédécesseur et son successeur, sans en savoir plus.

Le premier nœud du circuit connaîtra votre adresse IP. Mais dès le deuxième nœud, la négociation se fera par l’intermédiaire du circuit partiel déjà construit, de sorte que le deuxième nœud, par exemple, ne connaîtra finalement que l’adresse IP du premier nœud (et du troisième lorsqu’un troisième nœud aura été ajouté).

Les paquets à acheminer sont associés à une identification du propriétaire du circuit (la personne qui l’a construit). Mais cette identification est un code arbitraire qui a été choisi au moment de la construction du circuit. L’identification réelle du propriétaire est inaccessible.

Cette construction fait appel au concept de cryptographie hybride. Chaque nœud d’oignon possède une clef publique, mais la cryptographie à clef secrète est bien plus rapide que celle à clef publique. L’idée est donc de distribuer à chaque nœud du circuit une clef secrète chiffrée avec leur clef publique.

Après la phase de construction, chaque nœud du circuit a une clef secrète qui lui est propre et ne connaît que son prédécesseur et son successeur au sein du circuit.

Échange de paquets

Pour acheminer un paquet au serveur, le client doit chiffrer son paquet de nombreuses fois :

• la première fois, le client chiffre son paquet TCP avec la clef publique correspondant au dernier nœud, numéroté n.
• la deuxième fois, avec celle de l’avant-dernier nœud, numérotée n-1.
• la troisième fois, avec celle de n-2.
• la quatrième fois, avec celle de n-3.
• …
• la dernière fois, avec celle du premier nœud, numérotée 1.

À ce stade, toutes les couches de l’oignon enferment le paquet TCP. Voyons comment « est pelé l’oignon » : lorsque le client envoie ce paquet au circuit qu’il a construit :

• le premier serveur du circuit déchiffre le paquet avec la clef 1 et l’envoie au deuxième serveur.
• le deuxième serveur déchiffre ce paquet avec la clef 2.
• …
• le dernier serveur déchiffre ce paquet avec sa propre clef privée n et obtient le paquet original.

En pratique, un client du réseau Tor peut configurer son navigateur web pour utiliser un serveur mandataire personnel qui donne accès à Tor (comme Privoxy). Voici le déroulement d’une visite de Wikipédia par ce client :

• Son navigateur envoie la requête HTTP à Privoxy.
• Privoxy retranche l’information non anonyme, passe l’information via SOCKS au client Tor. Le client construit un circuit (si ce n’est déjà fait), chiffre les données à envoyer, et les passe au premier nœud.
• Ce premier nœud déchiffre une partie de l’enveloppe et fait suivre les données jusqu’à atteindre le nœud de sortie.
• Ce nœud de sortie envoie la requête à Wikipédia.

La même chose se passe en sens inverse. L’échange est ainsi anonyme, mais est cependant très ralenti.

Services cachés

Tor propose à ses utilisateurs un ensemble de services cachés, qui ont pour but de publier des sites web ou de proposer d’autres services sur internet en cachant l’identité du serveur qui les héberge. Ils permettent ainsi de cacher l’adresse IP, donc les coordonnées géographiques, de serveurs utilisant ce service caché.

Pour la mise en place de sites web cachés, le serveur doit d’abord être configuré localement par son créateur, puis Tor va « pointer » sur ce serveur pour que des personnes extérieures puissent y accéder. Dans ce cas, le serveur recevra de Tor une adresse en .onion, et il ne pourra être accessible que par l’intermédiaire de Tor. L’accès d’utilisateurs à un service web protégé par les services cachés se fait selon un protocole défini par Tor. Ce protocole gère notamment la notion de « rendez-vous » entre l’utilisateur et le site web, ce rendez-vous ayant lieu sur un des nœuds du réseau Tor.

La principale critique faite aux services cachés est le temps qu’il faut pour charger les pages de sites utilisant les services cachés. La longueur de la connexion peut ainsi excéder plusieurs minutes. Il est donc actuellement impossible d’utiliser les services cachés de Tor afin de créer des pages web très interactives ou encore de mettre en place des messageries instantanées. De plus, l’enregistrement d’un serveur sur le réseau Tor prend lui aussi beaucoup de temps ; il faut définir le point d’introduction au serveur, les clés publiques et privées et construire les relais pour pointer sur le site.

C’est pour supprimer ces défauts que Tor a lancé le NLnet Project qui vise à repenser la structure des services cachés et à rendre leur utilisation plus rapide^{[réf. nécessaire]}. Ce projet est programmé pour aboutir en mai 2009.

Un anonymat partiel

Tor ne peut assurer la protection de paquets UDP, et n’en soutient donc pas les utilisations, notamment les requêtes aux serveurs DNS, pourtant nécessaires à la navigation web et extrêmement révélatrices des habitudes de navigation du client. Cependant Tor offre la possibilité de router les requêtes DNS à travers son réseau, notamment à l’aide de la commande « torify ». Et les auteurs recommandent l’extension Firefox « Torbutton » qui fait passer tout le trafic Firefox par Tor et non une partie configurée. Torbutton peut utiliser un proxy anonymiseur comme Privoxy ou Polipo.

Par ailleurs, tout site web peut disposer sur ses pages du code Javascript qui lui renvoie l’adresse IP de ses clients, annulant ainsi l’efficacité de Tor, qui avait justement pris soin de masquer cette information. Il est difficile de se prémunir contre ce problème, car bloquer l’exécution de ce type de code bloque également des fonctionnalités parfois indispensables aux services rendus par un site. On peut cependant utiliser NoScript, une extension Firefox qui gère les scripts javascript en les activant uniquement dans les domaines de confiance. Mais le mieux est de désactiver toutes les extensions (Javascript, Flash, plugins multimédias...).

Attaque de type "Time Pattern"

Tor permet d’empêcher un attaquant de suivre le chemin pris par une connexion. Cependant, s’il ne peut reconnaître le contenu du flux, il existe des moyens dont le principe est en quelque sorte lié au problème des canaux cachés. Par exemple, envoyez un flux comme du code morse : 3 paquets envoyés en salve, puis 5 secondes de silence, puis 3 paquets, etc. Lorsque vous verrez un flux sortir d’un nœud Tor et dont le « motif temporel » ressemble à celui-ci, alors vous saurez que c’est le vôtre.

Selon ce principe, vous pouvez chercher à attribuer une signature temporelle à un flux que vous essayez de suivre, ce qui vous permettra peut-être de le faire. Un attaquant peut d’ailleurs augmenter ses chances en donnant lui-même un motif temporel au flux qu’il cherche à suivre. C’est en effet chose possible. Comme au sein d’un nœud tous les paquets sont transférés par le biais d’une machine commune et se partagent donc les ressources du système, un attaquant peut inonder un nœud de ses propres paquets pour moduler un ralentissement de la machine comme il l’entend, et ainsi créer une signature temporelle pour les flux qui traversent ce nœud précis.

Ces deux types d’attaques sont très différents et posent de nombreuses questions. La première montre que même si le réseau Tor protégeait parfaitement l'anonymat, des moyens simples peuvent le contourner complètement et fortement compromettre son efficacité. Le second exemple montre que, bien que Tor soit un outil efficace, il est possible de l’attaquer directement ; il n’est donc pas un paradis pour hackers.

Polémique

L’existence d’un tel réseau est sujet à polémique.

Si la communauté Tor fait en effet valoir que les délinquants utilisent déjà d’autres techniques (vol, piratage, ingénierie sociale, etc.), et qu’en outre, pour certains échanges, la condition d’anonymat est primordiale : journalistes, réseaux militants, etc., il reste que l’on ne saurait ignorer le risque que des actes illicites soient, à l’aide de Tor, commis sans qu’aucune archive ne permette d’identifier les éventuels auteurs d’infractions (La police allemande a ainsi saisi, en septembre 2006, des serveurs du réseau Tor dans le cadre de l’instruction d’une affaire de pédophilie^{[réf. souhaitée]}). On qualifie donc parfois ces systèmes de « réseaux d’impunité », les nœuds étant localisés dans le monde entier, alors même qu’une législation à l’échelle d’un seul pays est déjà difficile à mettre en œuvre.

La liste des serveurs Tor étant connue (par nécessité et par volonté des responsables du logiciel)^[3], certains sites web et canaux IRC bloquent l’accès par le réseau Tor. Wikipédia a la volonté d'empêcher les modifications de pages par les IP masquées par Tor. Le message affiché est le suivant : « Vous n'avez pas la permission de modifier cette page, pour la raison suivante : Cette adresse IP a été automatiquement bloquée car elle fait partie du réseau de proxies anonymiseurs de Tor. Pour prévenir les abus, l’édition à partir de ces ordinateurs est interdite. […] Date d’expiration du blocage : ce blocage affectera cette adresse IP tant qu’elle fait partie du réseau Tor. […] ».

Notes et références

1. ↑ (en) Annonce officielle de la FSF.
2. ↑ Yves Eudes, « Commotion, le projet d'un Internet hors de tout contrôle », dans Le Monde, 30 août 2011 
3. ↑ http://torstatus.blutmagie.de/ est la page officielle du projet permettant d'avoir la liste des serveurs en tant réel

Voir aussi

Fenêtres Tor d'un relais avec indication de pays d'internautes qui ont utilisés une passerelle pour aider des utilisateurs censurés

Autres réseaux d’anonymisation

• JAP : Java Anon Proxy
• Freenet
• JanusVM : VPN utilisant le réseau Tor.
• GNUnet : échange de fichiers anonyme multi fonctions (multiplateforme)
• ANts P2P : échange de fichiers, anonymisation de serveur web HTTP, et Chat (non anonymisé)
• MUTE : échange de fichiers
• I2P
• MName
• Entropy
• Omemo
• Ananoos

Liens externes

• (en) Site officiel
• (fr) Tor, article de rebellyon
• (en) Statistiques sur le réseau Tor