Piratage du réseau Tor: à quel jeu joue Éric Filiol?

Je m’en faisais l’écho la semaine dernière, une équipe de chercheurs menée par Éric Filiol prétendait avoir réussi à prendre le contrôle du réseau d’anonymisation Tor, cassant à la fois le chiffrage et l’anonymisation.

Quelques jours plus tard, nous n’avons pas plus d’informations précises, mais pris un peu plus de recul sur la manière dont les choses ont été annoncées, et les motivations possibles des acteurs…

C’est par une conférence de presse que Éric Filiol a donné les résultats des expériences menées par son équipe et lui-même. Leur conclusion est sans appel: ils sont capables de casser la protection proposée par le célèbre réseau.

Rien ne filtre, une stratégie médiatique?

Le souci est que nous disposons d’assez peu d’informations précises.
Quelques unes ont été fournies, mais on reste dans l’ordre du possible, ce qui laisse un sentiment très désagréable pour les utilisateurs de Tor. Comment juger les annonces de Filiol autrement qu’en appliquant un principe de précaution, et donc en considérant que le réseau n’est pour le moment plus fiable?

Le gros problème dans cette affaire en dehors du fait que des failles aient potentiellement été découvertes – ainsi va le processus de sécurisation des systèmes – c’est le contraste entre la faiblesse des informations données sur les failles, et la grandiloquence des déclarations de Filiol et son équipe.

D’autant plus que les membres de la Fondation Tor sont totalement laissés dans le doute, et sont eux aussi réduit à l’émission d’hypothèses étant donné que le chercheur refuse de leur donner plus d’information avant la « tant attendue » conférence « Hackers to Hackers » des 29 et 30 octobre à São Paulo au Brésil.

Cette attitude un peu puérile pourrait passer si on parlait de la sécurisation de la dernière version du démineur de Windows 7. Mais ici, c’est tout de même potentiellement avec la vie de personnes qui s’appuient sur Tor pour communiquer dans des contextes répressifs que joue Filiol en refusant de communiquer les informations qui permettraient à la Fondation Tor de corriger le logiciel et ainsi, aux personnes qui l’utilisent de retrouver une certaine « sécurité ».
Dans ce contexte, l’annonce en grandes pompes de la conférence de la fin du mois laisse un arrière goût d’opération publicitaire morbide.

Par ailleurs, bien que compétent dans son domaine, le chercheur a déjà été surpris à s’emporter quelque peu dans ses annonces médiatiques pas toujours bien étayées, comme ce fut le cas en 2003 lorsqu’il avait prétendu casser le chiffrement AES. Le code qui accompagnait sa déclaration ne permettait en réalité rien de tel.

Autre information à prendre en compte, Filiol fait partie des personnes qui considèrent que la cryptographie est dans certains cas non souhaitable, car l’État peut selon lui avoir des raisons légitimes de prendre connaissance des informations. Ce qui revient à dire que l’État devrait toujours avoir la possibilité d’accéder aux données échangées sur son sol.
Ce raisonnement est bien connu et part d’un a priori pour le moins contestable : nous vivrions dans des pays où les États n’abusent pas de leur pouvoir et respectent la vie privée des personnes. Bienvenue chez les bisounours ! Pas sûr qu’il dorme avec un t-shirt de la Fondation Tor le soir.

Lâcher Tor?

Cette question est centrale et montre bien à quel point l’attitude de Filiol et son équipe est dommageable. Il n’y a pour l’instant rien d’autre qu’une annonce, un court résumé et des vidéos, pas même d’expérimentation de la méthode en dehors du laboratoire.
À chacun-e de voir si ça doit l’amener à prendre la décision de lâcher Tor maintenant. En cas de faille avérée (ce qui est envisageable pour le moment mais invérifiable), il parait évident – à moins de tomber dans la théorie du complot – que la Fondation Tor tentera de la résoudre.

Cette affaire a néanmoins le mérite de rappeler que la course à la sécurité sur le net n’est jamais une affaire gagnée. Le chiffrement est certes une réponse crédible aux systèmes de surveillance, mais cela implique d’une part que l’on fasse confiance à des équipes de développement que l’on ne connaît pas directement (et au fait que le code du logiciel soit libre), et d’autre part, que l’on se pose la question du devenir des algorithmes d’aujourd’hui: probablement déchiffrés en partie, ou en totalité pour certains !

Gardons cette idée en tête lorsque nous pensons naviguer en toute sécurité : aucun système n’est infaillible et encore moins éternel.


Pioche un article au hasard!

Ou sur une thématique proche

Lien pour marque-pages : Permaliens.

4 Commentaires

  1. Ping :Sécurité : le retard de la France à cause des hackers… stigmatisés / #NeoSting

  2. Filiol critique les principes même de Tor : basé sur TCP, utilisant la cryptographie, décentralisé, tout le monde peut participer.

    Mais il ne propose strictement à la place, sauf de très grosses blagues (comme utiliser la stégano au lieu de la crypto, UDP à la place de TCP, etc.)

    Enfin, il est évident que Tor n’offre qu’une protection limitée contre un gouvernement.

  3. C’est surtout que Filiol est un escroc prétentieux ! Pathétique. Je suis consultant de sécurité informatique et franchement, je ne me vanterai jamais d’être un expert – à moins de me faire prendre en défaut dans la minute suivante par plus compétent que moi… Mais là franchement, il suffit de connaitre un peu Tor techniquement et globalement les réseaux pour se rendre compte que son discours est totalement absurde …

    • Salut,

      désolé pour la validation très tardive du commentaire, j’ai été quelque peu absent, et ça se voit aussi dans l’écriture de nouveaux articles.
      Tu as raison, le personnage a surtout fait du buzz. La preuve, plusieurs années après (l’article date de 2011), Tor reste la référence, et son coup d’éclat a fait pchhiit…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ATTENTION: merci de répondre à cette question pour lutter contre le spam: * Time limit is exhausted. Please reload CAPTCHA.