Selon des documents rapportés par le Guardian, la NSA serait incapable d'attaquer frontalement le réseau Tor pour identifier ses utilisateurs, mais a mis en place des tactiques pour le faire indirectement, de façon ciblée.

Si vous ne pouvez pas passer par la porte, essayez par la fenêtre. De nouveaux documents de la NSA révélés au Guardian par Edward Snowden indiquent que l'agence de sécurité américaine tente régulièrement de casser la sécurité du réseau Tor qu'elle a elle-même financé, mais qu'elle n'y parvient pas directement. La NSA a donc mis en place une tactique baptisée EgotisticalGiraffe, qui consiste à découvrir des utilisateurs de Tor en utilisant ses outils de captation et d'analyse du réseau mondial, et à profiter de failles de sécurité présentes sur d'autres logiciels utilisés par la cible pour le surveiller.

Le réseau Tor, en lui-même, semble ainsi à la hauteur de sa réputation. Baptisé par la NSA elle-même "le roi de l'anonymat hautement sécurisé, à faible latence", le réseau permet de faire transiter les communications de façon chiffrée, au travers d'une multitude de relais, pour rendre virtuellement impossible l'identification du point d'origine. Dans une présentation secrète intitulée délicatement "Tor Pue" (Tor Stinks), la NSA explique qu'elle ne pourra "jamais être capable de dés-anonymer tous les utilisateurs de Tor en même temps", et ajoute que "avec une analyse manuelle nous pouvons dés-anonymer une toute petite fraction des utilisateurs de Tor". Mais les moyens à mettre en oeuvre sont colossaux, et trop peu discrets pour être efficaces.

Jusqu'à présent, la NSA n'aurait donc jamais réussi à dés-anonymer un utilisateur en s'attaquer directement au coeur du réseau.

Mais comme l'a montré le piratage de serveurs hébergés en France par le FBI, les services américains ont pu exploiter une faille d'une version de Firefox qui était distribuée par Tor (dans son Tor Browser Bundle) pour obtenir indirectement l'adresse IP et l'adresse MAC d'utilisateurs du réseau d'anonymisation, et les surveiller de plus près. 

Le fait que le Tor Browser Bundle a longtemps reposé sur une version attaquable de Firefox n'est peut-être pas un hasard. Sur les 2 millions de dollars du budget de Tor l'an dernier, 40 % provenaient du Département de la Défense américain, dont dépend la NSA (en tout, 60 % du budget de la fondation qui gère Tor proviennent du gouvernement des Etats-Unis). Or selon le Guardian, l'une des stratégies mises en place par la NSA consiste à "orienter" le développement de Tor, en collaboration avec le GCHQ, l'agence de renseignements britannique.

Depuis, la version de Firefox intégrée au Tor Browser Bundle est une version corrigée, où la faille n'existe plus. Mais ce n'est qu'une maigre garantie. Parmi ses différents prestataires, la NSA collabore avec la société française VUPEN, dont le métier est précisément de fournir aux autorités les failles de sécurité qu'elle découvre sur les logiciels les plus courants, et les méthodes pour les exploiter, avant qu'elles ne soient divulguées.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !