Tout nouveau sur ce site, je débute par une question volontairement exagérée mais qui me laisse perplexe depuis quelques semaines: L’utilisation de Tails (Debian) sécurise-t-elle vraiment l’usager ?
J’ai choisi d’évoquer cette question ici pour avoir d’autres opinion sur le sujet. Pour ce faire, je vais rajouter un peu d’eau au moulin en synthétisant une “plausible faille de sécurité du réseau Tor”. Il y a quelques temps, j’ai souhaité découvrir la version “Live Tails” (USB), à travers une machine virtuelle. A première vue, rien à signaler, jusqu’à ce que Tails se mette à faire des siennes (démarrage hyper lent, ouverture du bureau Gnome impossible). Je me suis donc dit, allons voir un peu ce qui se trame sur le trafic réseau.
Quelle fut ma surprise lorsque je vis une attaque réseau Ddos en bon et due forme. Par principe de précaution j’ai réitéré la manœuvre une bonne cinquantaine de fois avec toujours le même constat constaté sur deux plateformes de virtualisation différentes:
1° VM Tails sous serveur de virtualisation CentOS 7 tournant sous KVM (NAT/DHCP)
2° VM Tails sous VMWARE WORKSTATION 12 PRO installé sur un machine hôte tournant sous Windows 8.1 Pro (NAT/DHCP)
A noter que le l’environnement réseau et système ayant servi à ces tests est protégé en amont par un VPN. Hormis une machine hôte et une VM Tails, rien d’autre n’est branché sur le réseau.
Par mesure de sécurité, j’ai envoyé mon analyse et le résultat de mes tests au Support Tails. A ce jour, je n’ai reçu que des réponses évasives, à me demander si je ne délire pas !
Nous sommes d’accords, le réseau Tor n’est pas aussi sécurisé qu’il n’y paraît. En réalité, si nous observons de plus près le plan de communication dévoilé sur le réseau Tor, il fait référence à la protection de l’anonymat, mais à aucun moment n’aborde le volet “Sécurisation”.
J’adore faire des comparatifs simplistes permettant de vulgariser un peut tout ce contenu “pseudo technique”. SI un usager devait choisir entre un système de protection AirBag et une ceinture de sécurité quel serait son choix ? Perso, la ceinture de sécurité est une absolue priorité (elle m’a déjà sauvé la vie une fois!). La protection AirBag est un plus, une option…
Par analogie, je dirai que le réseau Tor possède juste une “protection AirBag” et aucune ceinture de sécurité
A propos de l’actualité du VPN, les débats sont “chauds” notamment ceux traitant des politiques “no log” affichées par les fournisseurs de solutions “Client VPN”. Si je me réfère au système judiciaire du Canada, il me semble être “logique” et plus cohérent. D’après ce que j’ai pu comprendre en lisant un article de journal canadien, seul un Juge peut ordonner à un fournisseur de VPN de produire ses “logs”. Les serveurs VPN localisés au Canada sauvegardent bien leur journaux de “logs” durant une période extrêmement courte, ce qui leur permet de répondre au Juge quelques mois plus tard qu’ils n’ont plus les logs exigés disponibles dans leur serveur de stockage. Le Juge canadien (jurisprudence) estime que le fournisseur de solution “VPN” n’ayant pas les ressources financières et humaines suffisantes pour assurer le stockage total des “logs” n’est en aucun cas responsable de cet état de fait. Ici il s’agit donc de rationaliser la loi avec les moyens financiers et humains dont disposent les entreprises (éditeurs de solution VPN).
Voila comment j’ai interprété cet article lu sur un journal canadien. Peut-être avez-vous une autre version de la loi canadienne à ce sujet ? Personnellement je n’ai rien à cacher, mais je n’ai aucune confiance aux différents réseaux FAI, Tor…
Le film “Snowden” est une belle démonstration du “système” vers lequel nous nous dirigeons malgré nous… “La Machine” ? Ca vous parle ?
Tout nouveau sur ce site, je débute par une question volontairement exagérée mais qui me laisse perplexe depuis quelques semaines: L’utilisation de Tails (Debian) sécurise-t-elle vraiment l’usager ?
Non, cela ne sécurise pas l’utilisateur, cela le rend plus anonyme. Anonyme ne veut pas dire sécurisé.
Par analogie, je dirai que le réseau Tor possède juste une “protection AirBag” et aucune ceinture de sécurité
Il faut éviter les analogies, pour tenter d’expliquer les choses. Surtout que la ceinture marche mieux avec un airbag, sans ceinture, l’airbag tue.
“Personnellement je n’ai rien à cacher” =/= je déballe ma vie privée
Tant qu’il y a des abus ou problèmes de vie privée il faudra protéger sa vie privée tout simplement. Même si cela ne plaît pas aux politiques et gouvernements ;p
Et pour ce qui est de tor, ce sont souvent des petites failles ou problèmes de plugin qui compromettent son anonymat, dès qu’on se connecte à un “tuyau” du net il y a toujours un risque et la sécurité en général est une évolution continuelle qu’il faut suivre et garder en tête.
Je suis bien évidemment d’accord avec votre opinion, mais lorsque j’écris “Personnellement je n’ai rien à cacher” je ne fais pas référence à mes données confidentielles, bien évidemment Je pointe principalement l’aspect “Sécurisation” des données naviguant sur le réseau en général. Pour être plus pertinent; croire qu’une “excellente protection” de l’anonymat d’un internaute puisse protéger “ses mot de passe en relation avec la vie prive, banque, finance” est une aberration.
Si je vous dis aujourd’hui que récemment j’intervenais à distance sur des stations de travail d’un grand Groupe de la finance et du crédit français, et au même moment j’ai vu en “live” une attaque réseau par le ransomware “Odin” se propager à partir du poste utilisateur où j’étais connecté. Malgré l’énorme infrastructure réseau et systèmes de ce Groupe de la finance et du Crédit “Odin” a pu attaquer et crypter les 3/4 des documents financiers clients de ce Groupe ! Avez-vous lu récemment quelque chose dans la presse ? Bien sûr que non !
Vous allez certainement me demander: “Mais pourquoi n’avez-vous pas lancer une alerte !?!”. Pour être franc, la réponse a déjà était évoquée. Je n’ai rien à cacher, mais pour des raisons de confidentialité en relation avec mon contrat de travail je suis contraint de faire très attention… Dans ce type d’attaque ransomware est-ce que des données confidentielles ont été volé à l’insu de l’utilisateur ? A titre personnel, je répondrai oui mais je saurais incapable de vous dire quel est l’ampleur des dégâts causés par cette attaque…
Tout ceci pour dire que la “Sécurisation” de vos données confidentielles est à ce jour une chimère et leur “protection” reste relative… En revanche, j’attache une importance capitale à mes données confidentielles stockées chez moi, c’est clair !
Je suis tout à fait d’accord avec votre avis, c’est d’ailleurs ce que j’ai tenté d’expliquer à travers mon commentaire précédent que j’ai évidemment escalader au Support Tails qui m’a donné quelques réponses évasives sur des points précis d’attaques Ddos initialisées durant le démarrage d’un clé Live USB Tails (version 2.3, 2.4 et 2.9.1). Sur les relevés WireShark que je leur ai transmis figure les adresses IP des serveurs ayant lancé l’attaque, je leur ai simplement demandé quel était l’origine de ces serveurs, à ce jour aucun réponse depuis 1 an environ…
" Surtout que la ceinture marche mieux avec un airbag, sans ceinture, l’airbag tue. " En toute honnêteté, je peux vous garantir que l’accident que j’ai eu il y a 25 ans de cela avec une Renaud Megane sans AirBag, c’est uniquement la ceinture de sécurité qui m’a sauvé la vie. L’option AirBag avec ceinture de sécurité m’aurait explosé la tête, résultat décès immédiat. Je roulais à 120Km/h sur une route limitée à 110Km/h et j’ai percuté un mur de 1,5 m d’épaisseur. J’ai donné un coup de volant pour éviter un gamin qui sortait de nul part en pleine nuit (3h du matin) sur une route départementale sans passage piéton. Ironiquement, à l’âge de 16 ans, en roulant avec mon 1er cyclomoteur au ralenti, ma roue avant s’est enquillée dans ce que je croyais être une flaque d’eau, malheureusement c’était une bouche d’égout sans son couvercle, résultat le décompresseur cassé à son extrémité m’a ouvert l’artère fémoral, si j’avais roulé un peu plus vite je n’aurais pas eu ce grave accident, juste quelques égratignures sur les mains, coudes… Tout est une question de “relativité”
@bliz
Bonjour,
Oui, vous avez raison d’évoquer cette problématique du réseau Tor impacté par de grosses failles de sécurité dont la plus connue se situe sur le dernier relais de sortie, étant donné que le chiffrement asymétrique employé est effectué par un effet de “miroir” (le dernier noeud Tor voit exactement tout ce que l’utilisateur final voit). Nous devrons prendre un peu de recul afin d’examiner la mise en place de la fonctionnalité “HTTPS partout” implémentée dans la dernière mouture de “Tor Browser”. La présence officielle en ’ .onion" du réseau social Facebook sur le réseau Tor fait mention d’une connexion sécurisée “HTTPS” de bout en bout sur la totalité du maillage Tor, est-ce que cela nous garantie une "sécurité parfaite " ? J’ai des doutes !
Je pointe principalement l’aspect “Sécurisation” des données naviguant sur le réseau en général. Pour être plus pertinent; croire qu’une “excellente protection” de l’anonymat d’un internaute puisse protéger “ses mot de passe en relation avec la vie prive, banque, finance” est une aberration.