Journal Les serveurs du projet Tor ont été hackés

Posté par (page perso) .
Tags : aucun
24
22
jan.
2010
Mauvaise nouvelle pour les utilisateurs du projet Tor.
Ce logiciel (The Onion Router) est utilisé pour router de façon complètement anonyme le trafic internet et il constitue donc un outil de choix pour protéger votre anonymat. Cet anonymat peut, on s'en doute, être absolument vital dans certains pays non démocratiques quand on a une activité politique qui s'oppose au régime en place.
C'est pour ça que l'annonce de la compromission des serveurs du projet Tor doit être prise très au sérieux par les utilisateurs.

Selon les administrateurs il faut absolument que vous fassiez une mise à jour vers les versions 0.2.1.22 ou 0.2.2.7-alpha.
Il a été découvert que des pirates se sont introduits sur les machines moria1 et gabelmoo mais il semble que les attaquants n'aient pas touché au code source (le dépôt Git était sur Moria) et ce soient contentés d'utiliser la bande passante pour lancer d'autres attaques ailleurs.
Peut-être qu'ils n'ont pas réalisé ou ils étaient tombés et le potentiel que représentait cet accès au dépôt Git de Tor ?
Évidemment les serveurs ont été réinstallés et de nouvelles clés SSH générés (ce qui explique la demande de mise à jour des versions du logiciel client).

Le message sur la liste de diffusion se veut rassurant et indique qu'à priori il n'y a pas eu de conséquences grave. On remarque néanmoins que la méthode d'accès utilisée pour l'intrusion n'est pas décrite. L'annonce du fait que le dépôt Git n'a pas été modifié pourrait également être plus ferme et définitive: "We've done some preliminary comparisons, and it looks like git and svn were not touched in any way."
Peut-être que ces "comparaisons préliminaires" vont réserver des surprises quand elles en seront au stade des comparaisons approfondies ?
Des précisions supplémentaires sont disponibles dans ce message de Roger Dingledine sur la liste de diffusion.

Quoi qu'il en soit si vous utilisez Tor vous savez ce qu'il vous reste à faire.
  • # Aïe

    Posté par . Évalué à 10.

    En effet, quand je vois les geoIP des utilisateurs de ma passerelle, je me doute qu'une compromission du code de tor ferais mal : http://gentoouser.free.fr/torusers.png

    Tant que toute compromission du code n'a pas été écarté, c'est inquiétant quand-même ! Surtout que la Chine a montré de quoi elle était capable avec les serveurs de Google.
  • # git fsck

    Posté par . Évalué à 10.

    À moins d’être très fort pour générer des collisions SHA-1, l’intégrité du dépôt git est quasi-impossible à compromettre.

    Un simple git fsck permet de voir si tous les objets de la base sont valides. Et du fait de la nature décentralisée, tout le monde a une copie du dépôt chez lui et peux vérifier si les objets git ont été altérés.

    C’est l’avantage d’un (D)SCM dont la sécurité est pensé dès de la conception, avec des sommes de contrôles SHA-1 à tous les niveaux.
  • # Une erreur qui me déçoit de ta part .....

    Posté par . Évalué à 10.

    L confsion entretenue sur hacker/pirate.
    • [^] # Re: Une erreur qui me déçoit de ta part .....

      Posté par (page perso) . Évalué à 9.

      Pas faux. Désolé.
      • [^] # Re: Une erreur qui me déçoit de ta part .....

        Posté par (page perso) . Évalué à 10.

        Je ne comprends pas, il n'y a pas de confusion possible hacker / pirate o_O l'un code, l'autre a peut-être quelques oeuvres contrefaites sur son galion...

        En revanche, confondre hacker et cracker, c'est tout de même pas la même chose ! shame on you !
        • [^] # Re: Une erreur qui me déçoit de ta part .....

          Posté par (page perso) . Évalué à 6.

          Ma défense, sournoise et vicieuse, sera de dire que tu est co-responsable car tu aurais du corriger à la modération ;-)
          • [^] # Re: Une erreur qui me déçoit de ta part .....

            Posté par (page perso) . Évalué à 6.

            o_O il y a de la modération sur les journaux maintenant ? :D
            • [^] # Re: Une erreur qui me déçoit de ta part .....

              Posté par (page perso) . Évalué à 7.

              A posteriori, oui.

              Y'en a même qui ont laissé entendre qu'il y avait de la censure...
            • [^] # Re: Une erreur qui me déçoit de ta part .....

              Posté par (page perso) . Évalué à 9.

              >>> o_O il y a de la modération sur les journaux maintenant ? :D

              Damned ! Ma défense sournoise et vicieuse est anéantie.
              Bon on va plaider le moment d'égarement, les circonstances familiales difficiles, l'effet d'entraînement de la bande, la jeunesse de l'accusé, la réinsertion par le travail, le remboursement des victimes, etc
              Avec un juge un peu endormi ça peut passer si j'ai Eolas comme avocat.
              • [^] # BLack hat / White hat

                Posté par . Évalué à 3.

                Moi je serais pour qu'on utilise plutot le terme Black Hat / White hat , au moin c'est clair meme pour les gens qui font la confusion hacker / cracker / pirate/ téléchargeur ..... (car entretenu par la puissance de feu des médias de masses et essentiellement télévisuelles ) .

                D'ailleur le terme hacker traduit en chinois signifie "client noir"' , genre une attaque de type middle man :)



                Un autre argument en faveur de l'tuilisation de Black hat vient de la traditionnelle manifestation de Las Vegas , le Defcon , on parle bien de conférence de Black hat non ?

                (bien qu'il n'y ait pas que des black hat )

                ps : je sens qu'on va me sortir le jeux de mot et redhat alors c'est pour les communistes ?
                • [^] # Re: BLack hat / White hat

                  Posté par . Évalué à 3.

                  Pour en rajouter une couche , dans le cas du projet TOR , on a bien une petite confrontation entre black hat et white hat :)

                  et j'ai bien l'impression qu'avec la monté du logiciel libre, nous ne somme qu'a l'aube de guérillas qui vont s'annoncer riche en rebondissements ...
                • [^] # Re: BLack hat / White hat

                  Posté par . Évalué à 3.

                  Je préviens tout de suite:

                  [Hors sujet] (ça, c'est fait!)

                  Quand tu dis que Hacker ça se traduit client noir en Chinois, ça serait pas une bidouille phonétique entre "Hacker" et "hei ke" qui aurait le bonheur de tomber dans le champ lexical?

                  [/Hors sujet]

                  Moi je voterais pour définir des termes précis en Français sans tenir compte du bricolage des Chinois avec des termes anglo-saxons ;)
  • # Je me disais aussi...

    Posté par (page perso) . Évalué à 10.

    Hello,

    ça n'a sans doute rien à voir mais je m'occupe de traduire le site Web de Tor et j'ai remarqué que certains trucs partaient en live depuis 2 jours: certaines pages ont changé d'encodage ( http://www.torproject.org/translation.html.fr ou encore http://www.torproject.org/contact.html.fr ) alors qu'elles étaient correctes auparavant. De plus, il a dû se passer quelquechose sur le svn de traduction car mes fichiers uploadés le 17/01 ont changé de version il y a deux jours (voir sur http://www.torproject.org/translation-status.html) avec des numéros de release totalement fantasques !

    J'espère que le code n'a pas été touché car il y a pas mal de choses codées "en dur" dedans (la configuration par défaut et les adresses des serveurs d'annuaire).

    Après Google, les chinois portent-ils encore davantage d'attaques sur Tor que par le passé ? (Pour ceux qui n'ont pas suivi, la Chine ainsi que l'Iran ont commencé à filtrer et bloquer l'accès au réseau Tor au cours du mois de juin 2009. Pour plus d'infos, visionnez cette vidéo: http://media.ccc.de/browse/congress/2009/26c3-3554-de-tor_an(...) )

    A moins que tout soit une pure coïncidence ???

    Bon sinon, n'oubliez pas que vous pouvez rendre service au projet Tor et surtout aux personnes situées derrière des équipements filtrants le réseau Tor en montant une passerelle (un noeud Tor qui ne fait pas de sortie sur Internet et qui n'est pas référencé publiquement): http://www.torproject.org/bridges.html.fr .
  • # Super Conseil

    Posté par (page perso) . Évalué à 2.

    >> Selon les administrateurs il faut absolument que vous fassiez une mise à jour vers les versions 0.2.1.22 ou 0.2.2.7-alpha.

    Wéé !
    Tous sur une version alpha !

    Serait plus judicieux de revenir à la version précédente stable (et sûre), ou tout simplement de se passer du logiciel en attendant la correction…
    • [^] # Re: Super Conseil

      Posté par . Évalué à 2.

      bah la version alpha c'est pour ceux qui utilisaient déjà une version alpha avant.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.