Après avoir tenté sans succès de signaler des bogues au projet Tor pendant des années, un chercheur en sécurité a révélé publiquement deux vulnérabilités zero-day qui affectent à la fois le réseau Tor et le navigateur Tor.
Dans deux articles de blog récents, le Dr Neal Krawetz a annoncé qu'il avait décidé de rendre public des détails sur plusieurs jours zéro à Tor après que le projet Tor n'ait pas réussi à résoudre les problèmes de sécurité qu'il avait signalés. Krawetz prévoit également de révéler au moins trois autres jours zéro Tor, dont un qui pourrait être exploité pour afficher les adresses IP réelles des serveurs Tor.
Krawetz a fourni un aperçu supplémentaire de ses difficultés à gérer le projet Tor en tant que chercheur en sécurité au fil des ans dans un article de blog, disant:
«Après ma honte publique du projet Tor (en 2017), ils ont changé la conception de leur site Web pour faciliter le signalement des vulnérabilités. Ils ont également ouvert leur programme de bug bounty chez HackerOne. Malheureusement, bien qu'il soit maintenant plus facile de signaler les vulnérabilités au projet Tor, il est peu probable qu'il corrige quoi que ce soit. J'ai eu quelques rapports fermés par le projet Tor comme «problème connu» et «ne résoudra pas». Pour une organisation qui est fière de sa solution sécurisée, on ne sait pas pourquoi elle ne résoudra pas les problèmes graves connus. »
Sommaire
Tor zéro-jour
Le premier des deux jours zéro divulgués par Krawetz pourrait être utilisé par les organisations et les FAI pour empêcher les utilisateurs de se connecter au réseau Tor. Pour ce faire, ils auraient besoin de scanner les connexions réseau pour «une signature de paquet distincte» qui est unique au trafic Tor. Le paquet pourrait même être utilisé pour empêcher le démarrage des connexions Tor, ce qui empêcherait les utilisateurs de se connecter au service.
Alors que le premier jour zéro pourrait être utilisé pour détecter les connexions directes aux nœuds de garde Tor qui permettent aux utilisateurs de se connecter au réseau Tor, le deuxième jour zéro peut être utilisé pour détecter les connexions indirectes. Ces connexions sont utilisées pour créer des ponts Tor qui sont un type spécial de point d'entrée dans le réseau qui peut être utilisé lorsque l'accès direct au réseau Tor est bloqué par des entreprises ou des FAI.
Selon Krawetz, les connexions aux ponts Tor peuvent également être facilement détectées en utilisant une technique similaire au suivi de paquets TCP spécifiques.
Maintenant que deux jours zéro affectant Tor ont été divulgués avec la possibilité que trois autres soient divulgués à l'avenir, les utilisateurs de Tor dans des pays aux régimes oppressifs tels que la Corée du Nord et la Syrie pourraient bientôt ne plus pouvoir utiliser le service. Espérons que le projet Tor se rendra compte de la gravité des jours zéro révélés par Krawetz et fera un effort pour les réparer avant que cela ne puisse se produire.
Via ZDNet
