[tor-relays-fr] Quid des noeuds Tor malicieux ?

Corl3ss corl3ss at corl3ss.com
Dim 27 Sep 20:27:52 UTC 2020


Hello


Conversation interessante !

On Sun, Sep 27, 2020 at 04:32:56PM +0200, Casper wrote:
> Chre a ??crit :
> > Est-ce que vous pourriez m'??clairer sur
> > - C'est grave Docteur ?
> 
> Dans un premier temps, faisons le point sur l'exp??rience utilisateur
> normale :
> 
> (je fais expr??s de vulgariser la technique)
> 
> le navigateur se connecte au site que l'on souhaite visiter, en
> passant obligatoirement par une sortie Tor. Il envoie la requ??te
> initiale.
> 
> Le site re??oit la demande, la traite, puis envoie sa r??ponse ?? la
> sortie Tor, qui va l'acheminer dans les tuyaux jusqu'au navigateur. La
> page web se charge dans le navigateur.
> 
> Pour l'instant, on ne fait pas de distinction entre http et
> https.
> 
> Nous savons depuis la cr??ation de Tor, que le noeud de sortie, et m??me
> tous les composants r??seau entre la sortie Tor et le site, sont
> susceptible de monitorer le traffic. Cette action est passive et
> n'impacte pas l'exp??rience utilisateur. Cette action n'est clairement
> pas notre probl??me.
> 
> Ce qui se passe lorsque l'on visite un site en passant par un noeuds
> de sortie Tor malicieux (c'est mon constat, vous pouvez ajouter le
> v??tre), c'est que le site apparait comme down dans le navigateur. On
> veut visiter un site, mais on ne peut pas, on est bloqu?? quelque part.
> 
> Toujours en se basant sur mon constat, les sites en https sont
> bloqu??s, ceux qui fournissent du http uniquement ne le sont pas.
> 
> C'est halucinant, vous ne trouvez pas ?
>

De ma comprehension c'est bien le but du ssl stiping mis en place par les noeud malicieux : ne pas te permettre d'acceder en HTTPS, pour pouvoir lire ton traffic en clair puisque tu es oblige de passer en HTTP. Du coup, un site en HTTP etant deja en clair... il n'est pas bloque.

Est-ce si grave ?
* cote admin des sites : si les sites implementait le HSTS, cela securiserait la situation car ton navigateur n'autoriserait pas le HTTP. Mais HSTS ne semble pas encore si repandu.
* cote utilisateur : veiller a utiliser HTTPS Everywhere et veiller a ce que HTTPS soit active sur les sites sensibles et a priori pas d'autres problemes...

(en tout cas c'est ce que retranscrivent les articles de Nusenu)


> Lors de mes quelques recherches, j'ai constat?? qu'?? chaque fois je
> passais par une sortie Tor d'un serveur OVH. Du coup pour m'adapter,
> je change de sortie par r??flexe d??s que je vois que je transite par
> une sortie OVH.
>

Yep, OVH et Hetzner surtout a priori.
 
> Il y a blocage certes, mais ?? quel niveau ?? lieu le blocage tr??s
> pr??cis??ment ? C'est une excellente question : perso je constate que
> mon navigateur envoie la requ??te initiale au site, mais qu'il re??oit
> une r??ponse de "connexion r??initialis??e", ce qui a pour effet de
> bloquer mon navigateur. La r??ponse du site ?? ma requ??te, je ne sais
> pas o?? elle est, car je ne l'ai jamais re??ue...
> 
> 
> Pour valider mes tests, je lance mes requ??tes tant??t avec Tor tant??t
> sans Tor (je m'en moque, je n'ai rien ?? cacher). j'ai install?? un
> plugin dans mon navigateur qui me permet de basculer en 1 clic Tor
> On/Off. De cette mani??re, ?? chaque blocage, je peux v??rifier
> imm??diatement ce qui se passe.
> 
> Je pense, d'apr??s mes tests, que la sortie a r??cup??r?? la r??ponse du
> site ?? ma requ??te initiale (et l'a mise ?? la poubelle), puis l'a
> remplac??e par une r??ponse g??n??rique de "connexion r??initialis??e" et
> l'a balanc?? dans le tuyau jusqu'?? ce que ??a arrive dans mon
> navigateur. Cette action impacte l'exp??rience utilisateur.
> 
> Je pense aussi qu'il s'agit d'une action faiblement automatis??e et
> tr??s cibl??e. En effet, si le traffic de la sortie ??tait soumis ?? un
> filtre automatique avec une liste noire, ma requ??te initiale partirait
> ?? la poubelle et mon navigateur attendrait pendant 3 min une
> quelconque r??ponse.
> 
> Pour aller encore plus loin dans l'analyse, il faut sortir la boite ??
> outils "openssl" : Je pense qu'il y a 2 pistes ?? explorer :
> 
> 1/ est-ce qu'il s'agit d'une action pour abaisser la version de TLS
>    utilis??e pendant la session https, mais que mon navigateur la
>    bloque par accident
> 
> 2/ qu'est-ce que contient exactement la r??ponse de type "connexion
>    r??initialis??e" (je n'ai pas eu la chance de la capturer
>    malheureusement)
> 
> ??largissons ?? d'autres protocoles :
> 
> Personnellement, j'utilise de temps en temps les sorties Tor pour me
> connecter en ssh sur mes serveurs personnels, et aussi pour me
> connecter en imap et smtp sur mes serveurs mail, et je n'ai jamais
> constat?? de quelconque blocage. ?? vous de confirmer que ces protocoles
> ne semblent pas impact??s.
>

Excellentes questions...

Du coup, je ne connais pas Nusenu (certains d'entrre vous peut-etre ?) mais je me suis permis de lui poser qq questions...

A suivre :)

Je vous partagerai avec plaisr selon le retour !

 
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 488 octets
Desc: non disponible
URL: <http://lists.torproject.org/pipermail/tor-relays-fr/attachments/20200927/c3d27772/attachment.sig>


More information about the tor-relays-fr mailing list