Dan Egerstad explique clairement sa démarche. Pour prouver que Tor seul ne fournit pas l'anonymat, il a installé cinq nœuds. Une fois ceux-ci promus au rang de nœuds de sortie, il a capturé le trafic clair sortant à la recherche d'identifiant de connexion POP3 et IMAP. Il ne faut pas être un génie pour s'imaginer que la moisson fut abondante. Mais si la nouvelle fait trembler dans les chaumières, il n'en reste pas moins qu'il s'agit d'un non-évènement de taille. L'écoute des flux sortant du nuage Tor a déjà été discuté au SSTIC 2006, et ici même, en commentaire du compte-rendu que j'en faisais. C'est non seulement précisé sur la page de téléchargement de Tor mais aussi détaillé dans la documentation :

Tor anonymise l'origine de votre trafic et chiffre tout à
l'intérieur du réseau Tor, mais il ne peut pas chiffrer
votre trafic entre le réseau Tor et sa destination finale.
Si vous envoyez des informations sensibles, vous devriez
employer autant de précautions que lorsque vous êtes sur
l'internet normal - utilisez HTTPS ou un chiffrement final
similaire et des mécanismes d'autentification.

Bref, Tor ne protège votre anonymat que... si vous ne laisser pas trainer d'éléments permettant de vous identifier dans les flux que vous lui confiez. Surprenant ? Non. Loin de là. Juste évident. Les contenus de vos communications sont nettement plus intéressants que leur enveloppe. Par exemple, on a beaucoup plus de chances d'identifier l'expéditeur et le destinataire d'un email en lisant son contenu qu'en ayant accès à l'IP qui l'a émis ou même aux adresses de messagerie des correspondants...

Ce qui est intéressant par contre, c'est de constater que parmi les utilisateurs de Tor se trouvent des ambassades et des agences de renseignement. Ah bon ? Je déconne, ce n'est pas ça qui est intéressant. C'est également évident. Ce qui est intéressant, c'est de voir le manque manifeste de formation de ces utilisateurs qui se font lever comme des bleus avec une technique datant de l'âge de pierre. Manifestement, quelque officier de sécurité a eu l'excellente idée de leur parler de Tor, mais la bêtise d'oublier de leur expliquer comment ça marchait et leur dire pourquoi il fallait également chiffrer les communications.

Toujours est-il que la méthode de notre "chercheur" suédois ne manque pas de susciter quelque polémique. S'il clame n'avoir enfreint aucune loi, tout le monde n'est manifestement pas du même avis : les autorités n'ont en effet pas tardé à aller le questionner. Car s'il n'a certes pas à proprement parlé compromis de système, si les nœuds Tor ont installés avec le consentement des gestionnaires des plate-formes, je ne suis pas tout à fait sûr que n'importe qui puisse s'autorisé à sniffer n'importe quoi sur Internet sous prétexte que ça passe en clair ou que ça sort de Tor. De plus, sur la base des informations qu'il a fourni, un journaliste indien aurait accédé à la boite mail de l'ambassadeur d'Inde en Chine et récupéré au moins un compte-rendu de réunion. Pas glop niveau confidentialité. Le problème, c'est que cette ambassade assure ne pas utiliser Tor. Ouch...

En tout cas, il est dans une situation nettement plus délicate qu'il n'y parait. En particulier parce que certaines des informations qu'il a récupéré sont confidentielles, ne serait-ce que parce qu'elles donnent accès à d'autres informations qui le sont également. Et même si elles n'avaient rien à faire là, même si elles auraient dû être protégées, le simple fait d'y avoir accédé va lui poser de sérieux problème...


La préservation de l'anonymat, on le voit bien, n'est pas très éloignée du soucis de confidentialité. Garantir le premier sans assurer le second, bien que possible, demande des efforts colossaux. D'aucuns pensaient avoir trouvé une bonne solution dans Hushmail. Cette société canadienne fournit depuis fort longtemps un service de webmail gratuit, service dont les échanges peuvent être protégés par OpenPGP. Les avantages de la webmail pour ses comptes (apparemment) anonymes avec ceux du chiffrement. Seulement, là où le bât blesse, c'est que votre prose et la clé privée qui la protège restent sur leurs serveurs. Personnellement, l'idée qu'un intervenant extérieur puisse gérer ma clé privée m'a toujours laissé perplexe. C'est pourquoi, et même si ça paraissait bigrement pratique, je n'ai jamais utilisé Hushmail ou même un quelconque plugin permettant d'intégrer OpenPGP à une webmail genre IMP ou SquirrelMail. Parce qu'une personne de plus qui a accès à votre clé privée, c'est déjà une personne de trop.

En l'occurence, ce sont ces personnes de trop qui ont permis à la DEA américaine d'arrêter un traficant de drogue sur la base, entre autres, de trois CDROM garnis du contenu de son compte Hushmail, comme le montre ce rapport d'enquête. Et quand ça tombe sur Slashdot, c'est pratiquement l'émeute. Quoi ? Hushmail donne des informations aux autorités ?! Scandale ! Sauf que d'après une réponse de la société, ils coopèrent bel et bien avec les autorités lorsque celles-ci se pointent avec un mandat et ne s'en cachent pas. C'est d'ailleurs clairement indiqué dans leur FAQ :

Hush Communications maintains its servers in British
Columbia, Canada. Hush Communications complies fully with
valid court orders issued by the courts of British Columbia,
Canada. In order to ensure consistent treatment of all users,
Hush Communications does not accept court orders from other
jurisdictions. However, law enforcement agencies from other
jurisdictions may pursue action through international
channels compliant with the laws of British Columbia and
Canada, resulting in a court order being issued by a court of
British Columbia.

Et probablement dans les conditions d'utilisation. Vous savez, la checkbox qu'on coche pour dire qu'on est d'accord avec, sans consulter le lien vers le texte vachement long écrit en tout petit qu'on ne lit jamais. Voilà, les conditions d'utilisation. C'est aussi le cas de leur variante marchande, les conditions générales de vente.


Une morale à ces deux histoires ? Qu'utiliser un service de sécurité sans en connaître les limites ne sert pas seulement à rien. C'est également contre-productif. Ces deux exemples sont criant à ce titre. Ce criminel qui se croyait à l'abri a probablement échangé plus de données compromettantes via Hushmail qu'il ne l'aurait fait par n'importe quel autre moyen. Tous ces diplomates et autres fonctionnaires, en utilisant Tor, se sont certainement exposés encore plus que s'ils ne l'avaient pas utilisé. Et probablement pour échanger des données plus confidentielles qu'à l'accoutumée.

Comme quoi, le sentiment de sécurité est souvent l'ennemi de la sécurité.


Sinon, dans la série protection de la vie privée, je vous conseille la lecture de ce billet de Robert Niles. En particulier le premier exemple. Cette histoire est assez édifiante, à de nombreux points de vue. Les faits eux-mêmes, la manière dont quelques blogueurs et leurs lecteurs vont s'en emparer et essayer de "teminer le travail". À méditer...