[tor-relays-fr] Quid des noeuds Tor malicieux ?

[Casper]

Chre a écrit :
> Est-ce que vous pourriez m'éclairer sur
> - C'est grave Docteur ?

Dans un premier temps, faisons le point sur l'expérience utilisateur
normale :

(je fais exprès de vulgariser la technique)

le navigateur se connecte au site que l'on souhaite visiter, en
passant obligatoirement par une sortie Tor. Il envoie la requête
initiale.

Le site reçoit la demande, la traite, puis envoie sa réponse à la
sortie Tor, qui va l'acheminer dans les tuyaux jusqu'au navigateur. La
page web se charge dans le navigateur.

Pour l'instant, on ne fait pas de distinction entre http et
https.

Nous savons depuis la création de Tor, que le noeud de sortie, et même
tous les composants réseau entre la sortie Tor et le site, sont
susceptible de monitorer le traffic. Cette action est passive et
n'impacte pas l'expérience utilisateur. Cette action n'est clairement
pas notre problème.

Ce qui se passe lorsque l'on visite un site en passant par un noeuds
de sortie Tor malicieux (c'est mon constat, vous pouvez ajouter le
vôtre), c'est que le site apparait comme down dans le navigateur. On
veut visiter un site, mais on ne peut pas, on est bloqué quelque part.

Toujours en se basant sur mon constat, les sites en https sont
bloqués, ceux qui fournissent du http uniquement ne le sont pas.

C'est halucinant, vous ne trouvez pas ?

Lors de mes quelques recherches, j'ai constaté qu'à chaque fois je
passais par une sortie Tor d'un serveur OVH. Du coup pour m'adapter,
je change de sortie par réflexe dès que je vois que je transite par
une sortie OVH.

Il y a blocage certes, mais à quel niveau à lieu le blocage très
précisément ? C'est une excellente question : perso je constate que
mon navigateur envoie la requête initiale au site, mais qu'il reçoit
une réponse de "connexion réinitialisée", ce qui a pour effet de
bloquer mon navigateur. La réponse du site à ma requête, je ne sais
pas où elle est, car je ne l'ai jamais reçue...


Pour valider mes tests, je lance mes requêtes tantôt avec Tor tantôt
sans Tor (je m'en moque, je n'ai rien à cacher). j'ai installé un
plugin dans mon navigateur qui me permet de basculer en 1 clic Tor
On/Off. De cette manière, à chaque blocage, je peux vérifier
immédiatement ce qui se passe.

Je pense, d'après mes tests, que la sortie a récupéré la réponse du
site à ma requête initiale (et l'a mise à la poubelle), puis l'a
remplacée par une réponse générique de "connexion réinitialisée" et
l'a balancé dans le tuyau jusqu'à ce que ça arrive dans mon
navigateur. Cette action impacte l'expérience utilisateur.

Je pense aussi qu'il s'agit d'une action faiblement automatisée et
très ciblée. En effet, si le traffic de la sortie était soumis à un
filtre automatique avec une liste noire, ma requête initiale partirait
à la poubelle et mon navigateur attendrait pendant 3 min une
quelconque réponse.

Pour aller encore plus loin dans l'analyse, il faut sortir la boite à
outils "openssl" : Je pense qu'il y a 2 pistes à explorer :

1/ est-ce qu'il s'agit d'une action pour abaisser la version de TLS
   utilisée pendant la session https, mais que mon navigateur la
   bloque par accident

2/ qu'est-ce que contient exactement la réponse de type "connexion
   réinitialisée" (je n'ai pas eu la chance de la capturer
   malheureusement)

Élargissons à d'autres protocoles :

Personnellement, j'utilise de temps en temps les sorties Tor pour me
connecter en ssh sur mes serveurs personnels, et aussi pour me
connecter en imap et smtp sur mes serveurs mail, et je n'ai jamais
constaté de quelconque blocage. À vous de confirmer que ces protocoles
ne semblent pas impactés.

C'est tout pour moi :)

La bize :)

Casper
-- 
GnuPG: AE157E0B29F0BEF2 at keys.openpgp.org
CA Cert: https://dl.casperlefantom.net/pub/ssl/root.der
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 833 octets
Desc: non disponible
URL: <http://lists.torproject.org/pipermail/tor-relays-fr/attachments/20200927/67630e80/attachment.sig>