Sécurité

Tor fait l’objet d’une mise à jour de sécurité majeure – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Pour les pirates, les espions et les cybercriminels de nos jours, qualifier Tor de « sécurisé » est un peu risible. Il y a tellement d’exploits et de solutions de contournement, ainsi que des faiblesses inévitables aux attaques par canal latéral effectuées dans le monde physique, que dans certains cas, le faux sentiment de cybersécurité peut finir par rendre l’utilisation détendue de Tor moins sécurisée que l’utilisation paranoïaque du régulier. l’Internet. Si vous cherchez à acheter de l’herbe sur Internet (ou à communiquer en toute sécurité avec votre maîtresse), Tor est probablement fait pour vous. Si vous cherchez à vendre certaines mauvaises herbes sur Internet, entrer en contact avec un informateur du gouvernement ou partager des informations sensibles entre des militants étrangers, ce n’est probablement pas le cas. Tor cherche à changer cela.

Cela survient spécifiquement à la suite des récentes révélations de vulnérabilités de grande envergure dans les protocoles d’anonymat de Tor. Un exposé très médiatisé a accusé des chercheurs de Carnegie Mellon d’avoir accepté une prime du gouvernement (apparemment un joli million de dollars) pour anonymiser certains utilisateurs de Tor (ceux spécifiquement mentionnés dans l’exposition incluent un suspect de pédopornographie et un vendeur du marché noir). Leur vecteur d’attaque et d’autres sont exactement ce que les utilisateurs cyniques des forums de hackers prophétisent depuis des années, des choses comme des nœuds Tor malveillants et des serveurs d’annuaire qui existent uniquement pour aspirer les informations personnelles des utilisateurs de Tor qu’ils servent.

Psssssst :  La nouvelle mise à jour effrayante d'Uber vous permet de transformer les gens en destinations - High-teK.ca

TorUne initiative majeure concerne l’algorithme régissant la sélection et l’utilisation des «nœuds de garde», qui sont les premiers nœuds d’anonymisation utilisés par un service caché de Tor, et donc les seuls nœuds interagissant directement avec l’IP légitime. À l’heure actuelle, une connexion Tor peut utiliser plusieurs nœuds de garde et, par conséquent, s’ouvrir à plus de vulnérabilité que nécessaire – maintenant, les développeurs veulent s’assurer que les connexions Tor utilisent le nombre minimum possible de nœuds de garde, et de préférence un seul.

Une autre poussée espère renforcer le mur entre les domaines du dark web, les robots utilisés par les moteurs de recherche et les chercheurs de serveurs spécialisés. L’un des points forts d’un service caché est qu’il est caché – pas seulement l’emplacement physique du serveur hébergeant le service, mais l’adresse numérique du service lui-même, à moins que l’adresse oignon générée de manière aléatoire ne vous soit spécifiquement remise. Garder les services cachés hors des résultats des moteurs de recherche signifie qu’un service privé peut rester privé, utilisé uniquement par les personnes à qui l’adresse a été spécifiquement remise. Si un attaquant trouve cette adresse, les protocoles d’anonymat de Tor devraient la protéger. Mais les attaquants ne peuvent même pas essayer d’accéder à des services dont ils n’ont aucune idée de l’existence.

tête de route de la soie

Si vous êtes prêt à vous plonger un peu plus dans le Dark Web et que cela ne vous dérange pas de regarder 99 sites inutiles pour tous les sites intéressants, démarrez le navigateur Tor et jetez un œil à cet ingénieux outil d’indexation de services cachés pour avoir une idée du niveau d’exploration qui peut actuellement être effectué sur le Web profond.

Le projet Tor existe pour fournir l’anonymat – c’est sa fonction principale, et toutes les autres fonctions sont au service de cela. Ainsi, attaquer la sécurité d’un utilisateur de Tor (même un horrible criminel légitime) revient à attaquer Tor lui-même. C’est un principe difficile à défendre, en fin de compte, de se fâcher contre les efforts de la police pour attraper les pornographes juvéniles. Pourtant, le monde de la sécurité est uni ; le chercheur en sécurité Bruce Schneider a qualifié la prétendue collaboration de Carnegie Mellon de «répréhensible», comme l’a fait de nombreux autres chercheurs universitaires en sécurité.

Psssssst :  Cet outil peut pirater vos comptes même avec une authentification à deux facteurs - High-teK.ca

route de la soie 2Leur raisonnement est solide. Il n’y a tout simplement aucun moyen d’attaquer la disponibilité de l’anonymat pour les mauvaises personnes sans également saper la disponibilité de l’anonymat pour les bonnes personnes. Nous avons également besoin d’une classe de chercheurs désintéressés qui peuvent interagir avec le cyber-underground criminel/quasi-légal et avoir des conversations significatives et honnêtes – nous en avons besoin pour la compréhension sociale, le maintien de la liberté d’expression et l’application efficace de la loi.

Ce n’est pas du tout une perspective qui semble exister au gouvernement. Les récents attentats terroristes à Paris ont conduit à des attaques soutenues contre le cryptage et l’anonymat, avant même que l’enquête n’apporte la moindre preuve que les assaillants avaient utilisé le cryptage, et certainement en l’absence de toute preuve que s’ils avaient ne pas utilisé un cryptage qu’ils auraient été détectés de manière fiable par les agences de sécurité françaises ou internationales. Le New York Timesqui a dévoilé l’histoire d’un prétendu aspect de cryptage des attaques, a depuis tiré l’histoire de leur site Web.

Bien sûr, la communauté des hackers/sécurité mettra du temps à se reconquérir et ne reviendra peut-être jamais au bercail. Il y a un nombre important de personnes qui croient encore que Tor est un pot de miel gouvernemental élaboré sans aucune sécurité réelle contre l’espionnage gouvernemental. C’est peu probable, mais en fin de compte, c’est la perception qui compte. Le projet Tor peut-il reconquérir les hardcores ? Peut-être pas. Mais avec ses mises à jour continues et agressives, cela pourrait nous garder plus en sécurité alors que nous parcourons les listes de médicaments sans acheter, regardons sans comprendre les déclarations de l’ISIS publiées en arabe et nous livrons généralement aux extrêmes de notre curiosité intellectuelle.

Psssssst :  Nouvelle fuite de détails sur une faille de sécurité qui a conduit OpenBSD à désactiver l'hyper-threading

En d’autres termes, cela pourrait maintenir les principes fondamentaux de la liberté en vie un peu plus longtemps.

Bouton retour en haut de la page