Après BitTorrent, l’Inria s’attaque à Tor

Actualités - Analyse - Posté on 04 Mai 2010 at 8:18 par cnis-mag

La même équipe qui avait défrayé la chronique la semaine passée en expliquant comment « tracer » l’adresse IP d’un utilisateur BitTorrent, vient de publier une enquête complémentaire intitulée « compromettre l’anonymat de Tor en exploitant les fuites d’information du protocole P2P ». Il existe deux utilisations de Tor lorsqu’il supporte BitTorrent : un mode spécifique pour cacher le client du Tracker, un autre le masquant aux yeux des autres « pairs » (sans écarter le fait que les deux modes puissent être combinés). La seconde méthode est totalement inadaptée, car Tor peut fort bien masquer les échanges protocolaires d’un échange P2P mais n’est pas taillé pour supporter les débits imposés par l’acheminement de la totalité du contenu. C’est donc en se penchant (entre autres recherches) sur ce premier usage que les chercheurs de l’Inria sont parvenus à retracer l’adresse IP de l’utilisateur. Soit en décortiquant les réponses du Tracker, soit en lisant directement le dialogue du DHT, échange de type UDP qui n’est pas supporté par Tor et qui, par conséquent, utilise le réseau public. Ce sont là des fuites inhérentes au protocole BitTorrent lui-même et non à « l’Onion Router ». Ce qui fait conclure nos chercheurs par un très pessimiste « In other words, BitTorrent users are in general not more protected on top of Tor than elsewhere ». Pas plus protégé, d’autant plus qu’une fois l’un des nœuds «désanonymisé », ce sont tous les autres flux transitant par ce point qui le sont aussi, provoquant ainsi ce que l’équipe appelle un « effet domino ».

L’étude s’est également penchée sur les habitudes d’usage selon les pays, et le pourcentage de la population tentant de s’abriter derrière un réseau Tor. Il semblerait que les plus « gros » utilisateurs de BitTorrent sur Tor soient respectivement les USA, le Japon et l’Allemagne, la France n’arrivant qu’en quatrième position, et dans des proportions moitié moindre que par rapport aux trois pays précédemment cités. Les pays montrant une proportion élevée d’utilisateurs Tor sont le Japon, l’Inde, la Grande Bretagne. Un engouement probablement proportionnel à la puissance répressive des lois en vigueur dans ces pays, pensent les rédacteurs de cette communication.

Si le message contenu dans cette étude est perçu par les usagers des réseaux P2P, cela aura au moins deux conséquences bénéfiques : la disparition, en premier lieu, de ce faux sentiment de sécurité qu’apporte un outil technique dont on ne connaît par très bien les mécanismes. Il se peut ensuite qu’un tel avertissement détourne les membres des réseaux P2P vers des outils de protection (passerelles, vpn…) plus adaptés à l’anonymisation de leurs échanges massifs, ce qui aurait pour résultat un allègement du réseau Tor, devenu difficilement utilisable depuis la généralisation des accès Internet haut débit et la montée en puissance des réseaux Torrent.

5 commentaires

  1. admin

    SBF@philr! : 😉 Il s’agit bien de MO …

  2. @ cnis : Vous avez raison*. De toute facon, c’est tjs la même chose. 90% des internautes tomberont dans les mailles du filet et les plus gros s’en sortiront car ils iront dans un cybercaflé avec une clé USB TOR…

    *  je suppose que c’est un certain M.O (l’un des journalistes sécu dont j’apprécie le + les propos. Voilà pour la flagornerie du vendredi…

  3. cnis

    @Gourmet : Il n’est peut-être par bien de s’instaurer « nœud Tor » et de regarder le trafic passant, mais il semblerait que cela devienne une habitude de plus en plus courante de la part des différents services de police et de renseignements, de façon même parfois très officielle si l’on se réfère à certaines informations whois.

    Je ne puis qu’approuver les deux points que vous soulevez. Mais dans la grande majorité des cas, les usagers BT ne prennent pas les précautions que vous mentionnez. Si vous lisez avec attention la manière dont les études ont été rédigées, vous remarquerez sans doute que certains passages sont très critiques quant à la politique de « stigmatisation de l’IP » actuellement prônée par nos instances gouvernementales. Une critique qu’il est rare de retrouver d’ailleurs dans des études de l’Inria (je me permets d’insister sur le mot « étude », car il ne s’agit en aucun cas d’un « article »). Que cette étude soit non exhaustive peut être effectivement regrettable sous certains aspects, mais plus complète, elle pourrait rapidement devenir indigeste et moins synthétique.

    @Philr : Il ne nous semble pas que ces études aient été rédigées pour « faire peur » à qui que ce soit. Tout au plus peuvent-elles prévenir les usagers contre un sentiment de fausse sécurité occasionné par l’usage non compris d’un logiciel de sécurité. Si la Me Michu à laquelle vous faite allusion désigne une personne impliquée dans la gestion des revenus des sociétés d’édition, alors oui, l’étude en question –particulièrement le premier volet concernant BT- n’est pas fait pour la rassurer. Car si le titre est « comment retrouver une adresse IP via BT », le contenu indique très clairement que les moyens pour y parvenir peuvent aisément être contournés.

  4. @GourmetBravo pour ce commentaire.
    D’ou ma question : à qui profite le crime ?
    Les deux études de l’INRIA (celle sur Bittorrent et sur TOR) semblent en effet faussées ou pas « scientifiquement » correctes…
    On voudrait faire peur à Me Michu qu’on ne s’y prendrait pas autrement…

  5. Gourmet

    Certes,
    n’importe qui peut se placer en tant que noeud Tor et observer le trafic non chiffré et ce n’est pas bien.
    Je ne suis pas franchement satisfait de ces articles (il y en a 2 sur Tor) car ils pêchent par omission en omettant (peut-être à dessein, notez bien) :
    1. de rappeler que le trafic BT se chiffre (et là, tous les DPI du monde peuvent courir ce que semblent oublier nos politiques qui se prétendent fort en Internet)
    2. de signaler que l’adresse que l’on retrouve annoncée sur le tracker n’est PAS l’adresse réelle du seeder ou du leecher ( d’où les « sometimes » de l’article et autres adresses non valides) mais celle qu’ll A RENSEIGNÉE dans son client (s’il l’a fait sinon il s’agit de l’adresse de son interface qui peut être privée). C’est ainsi que fonctionne seedfuck du reste.
    Ainsi donc, rien de nouveau sous le soleil : pour obtenir l’adresse publique d’un correspondant il FAUT établir un transfert avec lui et ça, l’étude ne le mentionne pas ! Peut-être à dessein.
    Db
    sur le tracker n

Laisser une réponse