Tor et les VPN ne sont pas des solutions miracles. De nombreuses techniques avancées ont été développées et étudiées au fil des ans pour désanonymiser le trafic Tor chiffré. La plupart de ces techniques sont des attaques par corrélation, qui relient votre trafic réseau d’une manière ou d’une autre à des journaux ou à des jeux de données. Voici quelques exemples :
Attaque par corrélation d’empreintes : comme illustré (de façon simplifiée) ci-dessous, cette attaque relève l’empreinte de votre trafic Tor chiffré (comme les sites web que vous avez visités) à partir de l’analyse de votre trafic chiffré, sans le déchiffrer. Certaines de ces méthodes y parviennent avec un taux de réussite de 96 % dans un environnement de monde fermé. L’efficacité de ces méthodes dans un véritable environnement de monde ouvert n’a pas encore été démontrée et exigerait probablement une puissance de calcul colossale, ce qui rend très improbable qu’un adversaire local emploie de telles techniques dans un futur proche. Ces techniques pourraient cependant, en théorie, être utilisées par un adversaire avancé et probablement global disposant d’un accès à votre réseau d’origine pour déterminer une partie de votre activité. Des exemples de ces attaques sont décrits dans plusieurs articles de recherche, ainsi que leurs limites. Le Tor Project lui-même a publié un article sur ces attaques avec quelques mesures d’atténuation : https://blog.torproject.org/new-low-cost-traffic-analysis-attacks-mitigations Archive.org.

Attaques par corrélation temporelle : comme illustré (de façon simplifiée) ci-dessous, un adversaire qui a accès aux journaux de connexion réseau (IP ou DNS par exemple, rappelez-vous que la plupart des serveurs VPN et la plupart des nœuds Tor sont connus et listés publiquement) à la source et à la destination pourrait corréler les horodatages pour vous désanonymiser sans avoir besoin d’accéder au réseau Tor ou VPN intermédiaire. Un cas d’usage réel de cette technique a été mené par le FBI en 2013 pour désanonymiser une fausse alerte à la bombe à l’université Harvard.

Attaques par corrélation de volumes : comme illustré (de façon simplifiée) ci-dessous, un adversaire qui n’a pas accès à des journaux de connexion détaillés (il ne peut pas voir que vous avez utilisé Tor ou Netflix) mais qui a accès à des journaux de comptage de données pourrait voir que vous avez téléchargé 600 Mo à une heure et une date précises qui correspondent à l’envoi de 600 Mo à la destination. Cette corrélation peut ensuite servir à vous désanonymiser au fil du temps.

Il existe des moyens d’atténuer cela, par exemple :
- N’utilisez pas Tor/VPN pour accéder à des services qui se trouvent sur le même réseau (FAI) que le service de destination. Par exemple, ne vous connectez pas à Tor depuis le réseau de votre université pour accéder anonymement à un service universitaire. Utilisez plutôt un point d’origine différent (comme un wifi public) qu’un adversaire ne peut pas corréler facilement.
- N’utilisez pas Tor/VPN depuis un réseau manifestement très surveillé (comme un réseau d’entreprise ou gouvernemental), essayez plutôt de trouver un réseau non surveillé, comme un wifi public ou un wifi résidentiel.
- Envisagez l’usage de plusieurs couches (comme ce qui sera recommandé plus loin dans ce guide : VPN sur Tor) afin qu’un adversaire puisse peut-être voir que quelqu’un s’est connecté au service via Tor, mais sans pouvoir voir que c’était vous, parce que vous étiez connecté à un VPN et non au réseau Tor.
Sachez à nouveau que cela pourrait ne pas suffire face à un adversaire global motivé disposant d’un large accès à la surveillance de masse mondiale. Un tel adversaire pourrait avoir accès à des journaux où que vous soyez et pourrait s’en servir pour vous désanonymiser. En général, ces attaques font partie de ce que l’on appelle une attaque Sybil. Ces adversaires sortent du cadre de ce guide.
Sachez également que toutes les autres méthodes décrites dans ce guide, comme l’analyse comportementale, peuvent aussi servir à désanonymiser indirectement les utilisateurs de Tor (voir plus loin Votre empreinte numérique, vos traces et votre comportement en ligne).
Je recommande aussi vivement de lire ce guide très bon, complet et minutieux (et plus détaillé) sur la plupart des vecteurs d’attaque connus contre Tor : https://github.com/Attacks-on-Tor/Attacks-on-Tor Archive.org, ainsi que cette récente publication de recherche https://www.researchgate.net/publication/323627387_Shedding_Light_on_the_Dark_Corners_of_the_Internet_A_Survey_of_Tor_Research Archive.org
Ainsi que cette excellente série de billets de blog : https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html Archive.org
Récemment, l’une de ces attaques a été tentée contre le réseau Tor, avec plus d’informations ici : https://arstechnica.com/information-technology/2014/07/active-attack-on-tor-network-tried-to-decloak-users-for-five-months/ Archive.org
Enfin, rappelez-vous qu’utiliser Tor peut déjà être considéré comme une activité suspecte, et que certains pourraient juger son usage malveillant.
Ce guide proposera plus loin quelques mesures d’atténuation contre de telles attaques en changeant votre origine dès le départ (en utilisant des wifis publics par exemple). Rappelez-vous que ces attaques sont généralement menées par des adversaires très compétents, très bien dotés en ressources et très motivés, et qu’elles sortent du cadre de ce guide.
Avertissement : il faut aussi noter que Tor n’est pas conçu pour protéger contre un adversaire global. Pour plus d’informations, voir https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf Archive.org
Source : The Hitchhiker’s Guide to Online Anonymity, écrit par AnonyPla © CC BY-NC 4.0