Mauvaise nouvelle pour les utilisateurs du projet Tor.
Ce logiciel (The Onion Router) est utilisé pour router de façon complètement anonyme le trafic internet et il constitue donc un outil de choix pour protéger votre anonymat. Cet anonymat peut, on s'en doute, être absolument vital dans certains pays non démocratiques quand on a une activité politique qui s'oppose au régime en place.
C'est pour ça que l'annonce de la compromission des serveurs du projet Tor doit être prise très au sérieux par les utilisateurs.
Selon les administrateurs il faut absolument que vous fassiez une mise à jour vers les versions 0.2.1.22 ou 0.2.2.7-alpha.
Il a été découvert que des pirates se sont introduits sur les machines moria1 et gabelmoo mais il semble que les attaquants n'aient pas touché au code source (le dépôt Git était sur Moria) et ce soient contentés d'utiliser la bande passante pour lancer d'autres attaques ailleurs.
Peut-être qu'ils n'ont pas réalisé ou ils étaient tombés et le potentiel que représentait cet accès au dépôt Git de Tor ?
Évidemment les serveurs ont été réinstallés et de nouvelles clés SSH générés (ce qui explique la demande de mise à jour des versions du logiciel client).
Le message sur la liste de diffusion se veut rassurant et indique qu'à priori il n'y a pas eu de conséquences grave. On remarque néanmoins que la méthode d'accès utilisée pour l'intrusion n'est pas décrite. L'annonce du fait que le dépôt Git n'a pas été modifié pourrait également être plus ferme et définitive: "We've done some preliminary comparisons, and it looks like git and svn were not touched in any way."
Peut-être que ces "comparaisons préliminaires" vont réserver des surprises quand elles en seront au stade des comparaisons approfondies ?
Des précisions supplémentaires sont disponibles dans ce message de Roger Dingledine sur la liste de diffusion.
Quoi qu'il en soit si vous utilisez Tor vous savez ce qu'il vous reste à faire.
Journal Les serveurs du projet Tor ont été hackés
22
jan.
2010
# Aïe
Posté par Tonton Benoit . Évalué à 10.
Tant que toute compromission du code n'a pas été écarté, c'est inquiétant quand-même ! Surtout que la Chine a montré de quoi elle était capable avec les serveurs de Google.
# git fsck
Posté par Aissen . Évalué à 10.
Un simple git fsck permet de voir si tous les objets de la base sont valides. Et du fait de la nature décentralisée, tout le monde a une copie du dépôt chez lui et peux vérifier si les objets git ont été altérés.
C’est l’avantage d’un (D)SCM dont la sécurité est pensé dès de la conception, avec des sommes de contrôles SHA-1 à tous les niveaux.
# Une erreur qui me déçoit de ta part .....
Posté par totof2000 . Évalué à 10.
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par patrick_g (site web personnel) . Évalué à 9.
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par BAud (site web personnel) . Évalué à 10.
En revanche, confondre hacker et cracker, c'est tout de même pas la même chose ! shame on you !
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par patrick_g (site web personnel) . Évalué à 6.
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par BAud (site web personnel) . Évalué à 6.
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par dyno partouzeur de drouate . Évalué à 7.
Y'en a même qui ont laissé entendre qu'il y avait de la censure...
[^] # Re: Une erreur qui me déçoit de ta part .....
Posté par patrick_g (site web personnel) . Évalué à 9.
Damned ! Ma défense sournoise et vicieuse est anéantie.
Bon on va plaider le moment d'égarement, les circonstances familiales difficiles, l'effet d'entraînement de la bande, la jeunesse de l'accusé, la réinsertion par le travail, le remboursement des victimes, etc
Avec un juge un peu endormi ça peut passer si j'ai Eolas comme avocat.
[^] # BLack hat / White hat
Posté par eastwind☯ . Évalué à 3.
D'ailleur le terme hacker traduit en chinois signifie "client noir"' , genre une attaque de type middle man :)
Un autre argument en faveur de l'tuilisation de Black hat vient de la traditionnelle manifestation de Las Vegas , le Defcon , on parle bien de conférence de Black hat non ?
(bien qu'il n'y ait pas que des black hat )
ps : je sens qu'on va me sortir le jeux de mot et redhat alors c'est pour les communistes ?
[^] # Re: BLack hat / White hat
Posté par eastwind☯ . Évalué à 3.
et j'ai bien l'impression qu'avec la monté du logiciel libre, nous ne somme qu'a l'aube de guérillas qui vont s'annoncer riche en rebondissements ...
[^] # Re: BLack hat / White hat
Posté par Maclag . Évalué à 3.
[Hors sujet] (ça, c'est fait!)
Quand tu dis que Hacker ça se traduit client noir en Chinois, ça serait pas une bidouille phonétique entre "Hacker" et "hei ke" qui aurait le bonheur de tomber dans le champ lexical?
[/Hors sujet]
Moi je voterais pour définir des termes précis en Français sans tenir compte du bricolage des Chinois avec des termes anglo-saxons ;)
# Je me disais aussi...
Posté par Médéric RIBREUX (site web personnel) . Évalué à 10.
ça n'a sans doute rien à voir mais je m'occupe de traduire le site Web de Tor et j'ai remarqué que certains trucs partaient en live depuis 2 jours: certaines pages ont changé d'encodage ( http://www.torproject.org/translation.html.fr ou encore http://www.torproject.org/contact.html.fr ) alors qu'elles étaient correctes auparavant. De plus, il a dû se passer quelquechose sur le svn de traduction car mes fichiers uploadés le 17/01 ont changé de version il y a deux jours (voir sur http://www.torproject.org/translation-status.html) avec des numéros de release totalement fantasques !
J'espère que le code n'a pas été touché car il y a pas mal de choses codées "en dur" dedans (la configuration par défaut et les adresses des serveurs d'annuaire).
Après Google, les chinois portent-ils encore davantage d'attaques sur Tor que par le passé ? (Pour ceux qui n'ont pas suivi, la Chine ainsi que l'Iran ont commencé à filtrer et bloquer l'accès au réseau Tor au cours du mois de juin 2009. Pour plus d'infos, visionnez cette vidéo: http://media.ccc.de/browse/congress/2009/26c3-3554-de-tor_an(...) )
A moins que tout soit une pure coïncidence ???
Bon sinon, n'oubliez pas que vous pouvez rendre service au projet Tor et surtout aux personnes situées derrière des équipements filtrants le réseau Tor en montant une passerelle (un noeud Tor qui ne fait pas de sortie sur Internet et qui n'est pas référencé publiquement): http://www.torproject.org/bridges.html.fr .
# Super Conseil
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Wéé !
Tous sur une version alpha !
Serait plus judicieux de revenir à la version précédente stable (et sûre), ou tout simplement de se passer du logiciel en attendant la correction…
[^] # Re: Super Conseil
Posté par boq . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.