Les autorités ont-elles réussi à compromettre l’anonymat sur Tor ?

Faut répondre oui ou non… alors forcément ça dépend ça dépasse

jjrocha pour Unsplash

Une enquête réalisée par le média allemand Panorama lève le voile sur la façon dont les autorités ont réussi, entre 2019 et 2021 et au prix d’efforts inédits, à identifier les administrateurs et certains membres d’un site Web pédopornographique dont les accès transitaient pourtant par Tor. S’ils admettent que certaines questions restent en suspens, les responsables du projet assurent que l’anonymat est toujours garanti sur le réseau décentralisé.

Alexandre Laurent

Le 20 septembre 2024 à 17h55

8 min

Sécurité

« Enquêtes sur le darknet : les forces de l'ordre sapent l'anonymat de Tor », a titré mercredi le média allemand Panorama, cellule d’investigation politique du géant audiovisuel NDR. L’article, doublé de formats TV et largement relayé outre-Rhin, lève une partie du voile sur la façon dont les autorités allemandes ont réussi à identifier, puis arrêter, en décembre 2022, un certain Andreas G., accusé d’avoir administré le forum de contenus pédopornographiques Boystown. Ce dernier n’était pourtant accessible qu’au travers du réseau décentralisé Tor, conçu pour garantir l’anonymat de ses utilisateurs. Cette promesse de confidentialité a-t-elle vraiment été rompue et, si oui, comment ?

Une identification basée sur des méthodes statistiques

Daniel Moßbrucker et Robert Bongen, les auteurs de cette enquête, indiquent avoir eu accès à une partie des documents confidentiels liés à ce dossier. Ils n’en révèlent pas la teneur technique exacte, mais expliquent que les autorités se sont appuyés sur une méthode statistique d’analyses temporelles (« timing analyses ») pour parvenir à leurs fins.

Rappelons qu’en simplifiant, le fonctionnement de Tor repose sur des serveurs intermédiaires, baptisés nœuds (nodes) ou relais, par lesquels transitent, de façon dynamique et chiffrée, les échanges entre un internaute et un serveur distant. Ce sont ces rebonds, de serveur en serveur, qui garantissent l’anonymat de l’utilisateur, puisque son adresse IP n’est connue que du premier relais auquel il se connecte, en sachant que le réseau Tor se compose aujourd’hui d’environ 8 000 relais opérés par la communauté. Les différentes couches de chiffrement garantissent quant à elles la confidentialité des échanges.

D’après Panorama, les autorités allemandes auraient réussi à « surveiller », parfois « pendant des années », certains de ces relais. Les ont-elles infiltrés, ou opérés directement ? L’enquête ne le dit pas. Cet accès a cependant ouvert une voie nouvelle : la possibilité de suivre certains échanges au travers des relais surveillés, en corrélant la taille des paquets échangés sur le réseau à leur heure de transmission. C’est cette technique, dont les détails précis n’ont pas été rendus publics, qui aurait permis aux forces de police de déterminer le point d’entrée d’Andreas G. sur le réseau, en suivant certains des messages échangés par ce dernier sur le client P2P Ricochet.

Des liens avec Liberty Lane ou KAX17 ?

Contactée par les auteurs de l’enquête avant publication, l’équipe du projet Tor affirme ne pas avoir eu accès aux éventuels détails techniques obtenus par ces derniers dans le cadre de leurs investigations. Ses discussions internes montrent néanmoins que les allégations sont prises très au sérieux, en partie parce qu’elles font resurgir des soupçons, formulés en début d’année suite à la publication d’un document classé confidentiel sur Reddit.

Issu du bureau d’enquêtes du Département de la sécurité intérieure américain, il évoque une opération conjointe du FBI et de son homologue britannique, la NCA, avec le concours de forces allemandes et brésiliennes, visant à « désanonymiser » les utilisateurs de certains réseaux de pédocriminalité opérant par l’intermédiaire de Tor. Nom de code ? Liberty Lane.

Les éventuels résultats de l’opération n’ont pas été rendus publics, mais des internautes ont réussi à mettre en lumière des recoupements entre plusieurs procédures judiciaires liées à des accusations de pédocriminalité. Les documents associés révèlent que dans la plupart de ces affaires, le FBI a réussi à obtenir l’adresse IP de l’accusé grâce au concours d’une « autorité étrangère », dont l’identité et les méthodes ne sont pas précisées.

Pour Boystown comme pour Liberty Lane, les identifications supposément réalisées via Tor seraient intervenues entre 2019 et 2021. Une période qui rappellera peut-être un autre incident aux spécialistes du réseau décentralisé : la mise en lumière, fin 2021, d’une vaste tentative de corruption du réseau Tor à l’aide de relais.

Les signes avant-coureurs en avaient été découverts par Nusenu, un participant au projet Tor, qui a d’ailleurs largement documenté le phénomène, surnommé KAX17, pendant deux ans sur son blog. À l’époque, la rumeur évoquait une initiative lancée par le gouvernement allemand, sans que l’hypothèse ait jamais été publiquement confirmée. Les journalistes de Panorama ne font pas ce lien dans leur article.

Une surveillance exceptionnelle

La presse allemande illustre un autre aspect exceptionnel de l’enquête liée à Boystown, via Tor. tagesschau.de, le portail central d'informations d'ARD, révèle ainsi que fin 2020, le tribunal de Francfort a prononcé une mesure de surveillance inédite, à la demande de la police criminelle fédérale. L’opérateur Telefónica a ainsi été enjoint de surveiller, pendant trois mois, les connexions à l’échelle de ses 43 millions de clients allemands (sous la marque O2), afin de signaler aux autorités toute connexion en direction d’un serveur précis : le point d’entrée supposément utilisé par Andreas G. pour se connecter au réseau Tor. Tagesschau souligne au passage que cette technique, dite IP Catching, a été mise en œuvre sans aucune « base légale explicite ».

« Il s’agit d’une démarche bien intentionnée, mais très créative, des autorités chargées de l’enquête, dans laquelle différents motifs d’intervention du Code de procédure pénale ont été joyeusement rassemblées, ce qui, dans sa forme concrète, a au moins épuisé les limites de ce qui était légalement autorisé », commente pour Tagesschau Dominik Brodowski, un professeur en criminologie de l’université de la Sarre.

Le volet technique lié à Tor a-t-il lui aussi dépassé ces limites ? Pour être efficace dans un laps de temps raisonnable, la technique d’analyse de la taille des paquets suppose en effet que les autorités allemandes aient réussi à infiltrer un volume significatif de serveurs. À défaut, les probabilités qu’un message du suspect passe par l’un des relais surveillés s’effondrent.

De la santé du réseau Tor

L’équipe du projet a choisi de répondre publiquement à la question que pose cette enquête : l’anonymat est-il toujours garanti sur Tor ? Elle rappelle l’introduction, dès 2018, du composant Vanguards, qui vise à limiter les possibilités en matière d’analyse de trafic, et souligne que l’application de messagerie instantanée décentralisée Ricochet, une alternative moderne à TorChat et Tor Messenger, qui aurait été utilisée pour désanonymiser Andreas G., a depuis été mise à jour et intègre justement ce composant, dans sa version actuelle (Ricochet-refresh, fork du client historique).

Reste une question structurelle : le réseau est-il assez vaste, et assez distribué, pour limiter tout risque de surveillance ? Fin 2023, le projet Tor avait révélé avoir procédé à un grand ménage au sein de son architecture distribuée, ayant conduit à la suppression de milliers de relais qualifiés de suspects.

« L’équipe en charge de la santé du réseau a implémenté des processus visant à identifier les grands ensembles de relais susceptibles d’être gérés par des opérateurs uniques ou mal intentionnés », rappelle aujourd’hui le projet Tor. Qui réaffirme sa conviction selon laquelle Tor est aussi anonyme et performant qu’il ne l’a jamais été. Et en appelle pour finir à sa communauté : « Nous encourageons ceux qui le peuvent à se porter volontaires et à contribuer, en bande passante et en relais, pour développer et diversifier le réseau Tor ».

Commentaires (22)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Carpette

Le 20/09/2024 à 20h41

Ne reste plus qu'à passer sur i2p dont le routage est autrement plus complexe et qui mettra en défaut cette analyse statistique

Colossale-Autruche-sélective

Le 20/09/2024 à 22h33

Je ne connaissais pas !

DantonQ-Robespierre Premium

Modifié le 20/09/2024 à 23h15

Et Freenet ? Je ne sais si ce très vieux projet est encore réellement vivant, mais question chiffrage c'était du costaud.

Seul problème : il fallait avoir des "amis", puis s'échanger ses ip afin de se connecter mutuellement à travers elles.

Je n'ai jamais compris le concept "d'ami" version Freenet. J'avais chatté avec un type au pif et lui avait envoyé direct mon ip / user ID, mais il a refusé d'être mon "ami", disant qu'il n'avait - avec raison - aucune raison de me faire confiance.

Mais le problème, c'est que lesdits "amis" (qui n'ont absolument rien d'amical en vrai, c'est juste des relais genre Tor) sont indispensables sur Freenet, si tu veux avoir une vitesse de surf minimalement raisonnable.

A force d'attendre des plombes l'affichage de la moindre petite page, et n'ayant aucun "ami", j'ai laissé tomber.

J'avais découvert un autre réseau p2p basé sur des relais, bien antérieur à i2p, qui n'avait pas besoin des ip pour se connecter, juste d'un ID. De fait, les ip ne circulaient jamais en clair sur le réseau. J'ai malheureusement oublié son nom (Jaz (pas la boite de blockchain, une autre !) ? ou Daz ? Un truc comme ça...)...

EDIT : ... J'ai fini par trouver ! il s'agit de Nodezilla (Hey, je savais bien qu'il y avait un Z dans le nom ! Prends ça dans ta gueule, Alzheimer !

), un projet abandonné depuis un bail, mais le principe technique de base lui, est vraiment pas mal du tout !

Note : la dernière version "Cindy" 0.5.15 date de 2010, vous pouvez trouver ses sources ainsi que les binaires ici.

Ce projet est considéré comme "deprecated" (donc on peut légitimement avoir des doutes quant à sa sécurité), mais mon grand espoir est qu'un développeur avisé s'en empare et l'actualise avec les toutes dernières mesures de sécurité... et une meilleure GUI.

EDIT 2 : Une faille de sécurité CVE qui date de la version 0.4.13, je n'arrive pas à savoir s'il l'ont corrigé avec la version 0.5.15...
Bon au final, peu importe, cette appli, dans l'état ou elle est, est dépassée épicétout.

pamputt Premium

Le 20/09/2024 à 23h44

Le site Boystown était-il un site onion (accessible uniquement via le réseau Tor) ou un site internet classique (dont on accédait au contenu via Tor) ?

Dans le premier cas, comment faire pour savoir que quelqu'un se connecte au site onion ? Même si on opère le dernier nœud et qu'on arriverait à désanonymiser, ça ne pourrait donner comme information qu'une personne s'est connecté à Boystown. Mais comme indiqué dans l'article, il faudrait avoir sous contrôle un très grand nombre de noeuds pour que la méthode soit efficace. Bref, beaucoup de mystères sur la technique utilisée.

Jean-Marc Manach Équipe

Le 23/09/2024 à 17h06

Boystown) (stylized in logo as BOYS TOWN) was a child pornography website run through the Tor network as an onion service.

pamputt Premium

Le 20/09/2024 à 23h46

C'est pas une bonne nouvelle pour Tor ça. Car si des gouvernements occidentaux ont trouvé une faille dans Tor, il est probable que les gouvernements chinois, russes, etc. travaillent aussi à l'exploitation de cette faille pour réprimer leurs ressortissants qui utilisent Tor.

pamputt Premium

Le 20/09/2024 à 23h48

« Nous encourageons ceux qui le peuvent à se porter volontaires et à contribuer, en bande passante et en relais, pour développer et diversifier le réseau Tor ».

C'est l'occasion de rappeler l'existence de l'association Nos oignons, qui a pour but d'administrer des relais Tor avec une importante bande passante

gileri

Modifié le 21/09/2024 à 16h23

Nos oignons, c'est à peu près 1300€ par mois pour 220MiB/s de bande passante. Et ce pour une augmentation toute relative de la décentralisation vu que les nœuds sont gérés par 1 seul acteur.

D'expérience, ça coûte environ 5€ par mois d'héberger 3MiB/s chez soi. Trois fois plus efficace économiquement qu'une donation chez Nos Oignons et bien mieux pour la résilience.

Edit : Je tiens quand même à saluer leur intention, leur transparence, et le temps investi. Il y a sûrement des bénéfices autres que les noeuds, mais je voulais juste exposer la raison qui m'empêche aujourd'hui (et par le passé) de leur donner.

Ferd Équipe

Le 21/09/2024 à 15h55

C’est super cher.
Pour le même debit ça serait 300 euros chez moji (et chez d’autres aussi), il y a peut-être des efforts de nego à faire…

pamputt Premium

Modifié le 23/09/2024 à 19h44

Est ce que ça veut dire que Moji veut héberger des nœuds de sortie Tor ??

Ferd Équipe

Le 23/09/2024 à 21h01

Ça peut se faire mais ce n’était pas l’esprit initial de mon message 😊
Ce que je disais, c’est que leur problème financier est assez facile à résoudre en renégociant leurs tarifs ou en migrant vers un autre fournisseur.
Après on n’a pas de confirmation de ces tarifs, je n’ai pas réussi à retrouver le débit consommé dans leurs rapports annuels

gileri

Le 14/10/2024 à 11h31

Le tarif est dans leur rapport financier, la bande passante est publique sur l'explorateur de nœuds ToR.

pingouin

Le 22/09/2024 à 00h36

L'intérêt de nos oignons, c'est aussi qu'ils s'occupent de l'aspect légal de la chose. Tu peux toujours faire tourner un nœud toi-même, mais est-tu près à accueillir la maréchaussée chez toi à 6 heure du matin parce qu'un truc louche est passé par ton nœud ? Et c'est une mésaventure qui n'est pas réservée qu'aux administrateurs de nœuds de sortie, les nœuds de transit sont aussi concernés (mais dans une moindre mesure).

jah man

Modifié le 21/09/2024 à 02h26

Bonjour,

si j'ai bien pigé l'article, (et si c'est pas un gros FUD) les agences gouvernementales controlent assez de noeuds TOR pour introduire de bugs dans le réseau (latence, rajouts d'octets,etc) afin de désanonymiser en corrélants l'entrée avec la sortie (t'imagine la surveillance globale qu'il faut...)

Rien de nouveau ca fait des années qu'on entend la meme rengaine, ca reste à prouver qu'ils y arrivent (ya des protections). à moins qu'il y ai une nouvelle technique, j'ai juste survorlé les liens

FUD :

Wikipedia

PS: par contre, être ciblé par une agence gouvernementale sur du long terme et ne rien leaker c'est plus costaud (mais peut être moins vendeur ;)

Fervente-Quenouille-Bourrée

Le 21/09/2024 à 06h16

Le projet Tor a partagé sa réponse à la désanonymisation d'un "Onion Service" par une attaque ciblée. L'équipe chargée du développement du réseau affirme que le réseau Tor est en bonne santé. Le service utilisé par l'utilisateur désanonymisé était sur l'application Ricochet, depuis longtemps abandonnée. Les versions les plus récentes du service disposent des protections contre ce type d'attaque.
Pour rédiger l'article plutôt que de reprendre une étude d'un journal Allemand il suffisait de se rapprocher de l'article officiel de Tor... Developpez. com en a fait un super papier détaillé je dis ça je dis rien.

ElEsDell Premium

Le 21/09/2024 à 12h53

A moins que l'article a été mise à jour à posteriori de ce commentaire, c'est bien évoqué dans la dernière partie de l'article.

Jean-Marc Manach Équipe

Le 23/09/2024 à 17h09

L'article mentionne bien le billet de blog publié par Tor.

Quant à developpez.com, il s'est contenté de traduire en français ledit billet, sans valeur ajoutée, contrairement à notre article, au demeurant.

Fervente-Quenouille-Bourrée

Le 05/10/2024 à 01h03

Très juste autant pour moi j'ai trouvé d'autres informations en lisant de manière plus approfondie merci de m'avoir corrigé

linconnu

Le 21/09/2024 à 14h06

Le problème de Tor c'est que c'est tellement lent, qu'au final peu de gens l'utilisent donc peu de relais et la plupart louches niveau légalité car il faut vraiment avoir quelque chose à cacher pour accepter cette lenteur.

Pinailleur Premium

Le 22/09/2024 à 10h14

Je peux regarder du 720p sur YT à travers TOR. Ça dépend du circuit que tu as, et tu peux configurer le pays des noeuds que tu souhaites, ou à minima celui de sortie.

TOR permet dans ces conditions d'éviter des changements de prix basés sur ta navigation sur les sites de transports et autres.

Chre Premium

Modifié le 24/09/2024 à 21h37

Bonjour à toutes et tous,
Je suis l'un·e des membres du conseil d'administration (CA) de Nos oignons.

Quelques compléments à vos remarques (réponse collective des membres du CA) :

vu que les nœuds sont gérés par 1 seul acteur.

Nous avons l'impression qu'il y a confusion. Nos oignons collecte des fonds pour faire fonctionner des nœuds de sortie Tor en France chez différents opérateurs.
Nous avons actuellement 39 relais de sortie répartis chez 7 opérateurs qui ne sont pas, volontairement, des opérateurs dominants.

Source : https://nos-oignons.net/Services

Ajoutons que :
Nos oignons est justement un acteur de la décentralisation puisque les serveurs sont chez des hébergeurs différents, et généralement pas les majeurs. Ainsi, si un hébergeur, une route a un problème, le système Tor n'est pas remis en cause. A ce jour nous représentons environ 2% du trafic de sortie. L'objectif est de se maintenir, ou de grandir un peu mais de ne jamais dépasser les 5%, justement pour que le critère de décentralisation ne soit pas un problème ! Alors, n'hésitez pas, faites un don :)

C’est super cher.

Pour le même debit ça serait 300 euros chez moji (et chez d’autres aussi), il y a peut-être des efforts de nego à faire…

Les coûts viennent d'un équilibre entre bande passante attribuée, puissance CPU disponible, RAM disponible, nombres d'IP disponibles (IP v6, mais aussi IP v4, rares et chères) et délégation de la gestion des abuses sur nos IP. Tout cela car Tor utilise beaucoup de CPU, et pas mal de RAM, et le nombre d'instances Tor par IP est limité, et n'est pas optimisé pour utiliser plusieurs cœurs. De plus, Nos oignons essaye de trouver des hébergeurs autres que « grand public » (OVH, Online, …) afin justement d'accroître la diversité de Tor, ce qui peut parfois donner des prix un peu plus élevés. Mais si vous connaissez des hébergeurs à petit prix qui veulent bien héberger des nœuds de sortie et nous faire un délégation de préfixe IP, on est preneurs ! Nous réglons les serveurs pour maximiser la bande-passante et diminuer les coûts avec toutes ces contraintes. Enfin, il ne faut pas comparer avec un hébergement chez soi car nous parlons des relais de sortie : il est fortement déconseillé de mettre un relai de sortie chez soi (risque de blacklisting, de requête des autorités, abuses à gérer, etc.) Plus de détails ici : https://support.torproject.org/fr/relay-operators/operators-7/.

Ce sont aussi des raisons d'être de Nos oignons ! Alors, n'hésitez pas, faites un don :)

Et pour la petite bête qui a son importance, c'est Tor et pas TOR :
https://support.torproject.org/fr/about/why-is-it-called-tor/

Si vous avez d'autres questions, n'hésitez pas, nous essaierons de vous répondre au mieux.

fred42 Premium

Modifié le 24/09/2024 à 23h56

Nous avons l'impression qu'il y a confusion. Nos oignons collecte des fonds pour faire fonctionner des nœuds de sortie Tor en France chez différents opérateurs.

Nous avons actuellement 39 relais de sortie répartis chez 7 opérateurs qui ne sont pas, volontairement, des opérateurs dominants.

Non, il n'y a pas confusion : l'"acteur", c'est vous "Nos oignons", pas les opérateurs. C'est donc bien un seul acteur.

Sur la suite, celui qui a dit :

Pour le même debit ça serait 300 euros chez moji (et chez d’autres aussi), il y a peut-être des efforts de nego à faire

c'est Ferdinand, le patron de moji. C'est donc assez facile de le contacter en exprimant votre besoin pour voir si vous pouvez baisser vos coûts avec eux et ensuite négocier chez les autres avant d'appeler aux dons 2 fois dans ce commentaire. Je sais que c'est toujours facile de dépenser l'argent des autres, mais si pour le même montant de dons vous pouvez multiplier les serveurs, ce serait quand même mieux.