Tor n'est peut-être pas aussi anonyme que vous le pensez

Il existe quelques soi-disanttoiles sombresouréseaux sombresen existence. L'Internet normal que nous connaissons tous est désigné par de nombreuses choses telles quefilet clairouWeb clairet nous utilisons des navigateurs Web standards pour y accéder. Pour accéder aux sites du darknet, les ordinateurs doivent être reconfigurés pour résoudre les adresses Web inconnues et utiliser des proxys spéciaux. Ce logiciel cache également la véritable adresse IP et l’identité de l’utilisateur, mais dans quelle mesure y parvient-il ? Il s’avère qu’il existe plusieurs façons de désanonymiser et d’identifier un utilisateur du darkweb.
Tor est le darkweb le plus connu mais il en existe d’autres. Le Projet Internet invisible (IP2) est un autre darkweb, bien que beaucoup plus petit et le Le projet Freenet prend en charge un mode darkweb depuis 2008 . La vérité est que ces darkwebs fonctionnent sur le même vieux Internet que tout le reste. Ils fonctionnent sur les mêmes types de serveurs et utilisent les mêmes protocoles. Pour cette raison, il est très facile pour les opérateurs du darkweb de commettre de simples erreurs qui exposent leurs utilisateurs. Les utilisateurs du Darkweb confient leur anonymat à ces opérateurs du darkweb, dont beaucoup ne disposent pas des compétences nécessaires pour dissimuler correctement leurs utilisateurs.
Une étude récente montre que jusqu'à 35 % des sites Tor sont construits de telle manière que le serveur réel sur lequel ils sont hébergés peut être identifié . Une fois qu'un serveur darkweb est identifié, son propriétaire peut être identifié et, à partir de là, des mandats légaux ou des piratages illégaux peuvent être utilisés pour démasquer les utilisateurs individuels.
Comment fonctionnent les darkwebs ?
Tout d’abord, un peu de terminologie. Le termeréseau sombrefait référence à tout un darknetwork. Au sein de ce réseau peut se trouver n'importe quel service existant sur le Web clair, tel que des serveurs Web et des serveurs FTP. Les sites Web qui existent sur le darknet forment ce qu'on appelle leWeb sombre. Les deux termes sont utilisés dans cet article, mais ils ne sont pas entièrement interchangeables. Il en va de même pour les conditionsfilet clairetWeb clair, oùclairdésigne l'Internet normal et quotidien que nous utilisons tous. Enfin, de manière générale, les points d'entrée dans un darknet sont appelésnœuds d'entréeet les nœuds de sortie vers le réseau clair sont appelésnœuds de sortie.

Les serveurs Darknet existent sur le même Internet que les serveurs Clear Net. Les darknets se superposent à l’Internet existant en utilisant Internet pour le routage, mais pas pour l’identification ou la résolution de noms. Les serveurs Darknet ont des adresses IP comme n’importe quel autre serveur connecté à Internet. Cependant, les services darknet ne sont pas accessibles via leurs noms de domaine darknet sans utiliser de logiciel à cet effet. De plus, les darknets cryptent tout le trafic et utilisent également un système à sauts multiples pour rompre le lien direct entre un utilisateur et le serveur darknet qu'il visite. Avec ces trois éléments en place, les mesures d’enquête traditionnelles pour identifier les visiteurs ne fonctionnent pas bien.
L'utilisation du darkweb a deux objectifs différents : accéder à un site darkweb qui n'est pas disponible sur le clear web, ou utiliser le darkweb comme réseau d'anonymisation pour accéder à des sites web classiques sur le clear web. Tor et I2P fournissent tous deux ces services, tout comme certains autres darknets anonymisés tels que Freenet.
Pour accéder à des sites Web clairs, nous tapons simplement le nom de domaine du site que nous souhaitons visiter et il est téléchargé sur nos navigateurs. Ce processus utilise le système de noms de domaine (DNS) public pour rapprocher le nom de domaine fourni et l'adresse IP réelle du serveur hébergeant ce domaine. Les sites Web sombres n'utilisent pas le DNS Clear Net, vous devez donc saisir certains sites Web sombres, tels que le site Tor de Facebook à l'adresse https://facebookcorewwwi.onion/ , ne fonctionnera pas. Pour accéder aux sites darkweb, vous devez exécuter le logiciel de ce darkweb. Tor, par exemple, n'utilise pas du tout le DNS. Au lieu de cela, il gère une table de hachage distribuée (DHT) contenant des informations sur un site .onion qui permet à un utilisateur et à un service caché de créer un site .onion. Circuit de 6 sauts utilisant un point de rendez-vous entre eux. Aucun des sauts du circuit ne dispose de suffisamment de données pour corréler l'utilisateur et le service caché.
I2P utilise un concept similaire par lequel partagé et fiablecarnets d'adressessont utilisés pour la résolution des services cachés. Cela signifie que la résolution est toujours locale. Le concept de Torcircuitest utilisé, mais nommétunnelet un circuit full duplex en I2P nécessite deux tunnels distincts. Le trafic sortant et le trafic entrant utilisent des tunnels distincts pour mieux résister aux attaques d'analyse du trafic.
Puisqu’il n’est pas pratique pour la plupart des adversaires de suivre les activités d’un utilisateur via un circuit du darkweb, il est généralement plus facile d’utiliser d’autres moyens pour identifier les utilisateurs.
Le prochain obstacle à la désanonymisation des utilisateurs du darkweb est la nature transitoire du darkweb. Les circuits et tunnels du Darkweb sont de courte durée. Les utilisateurs visitant les sites du darkweb peuvent voir leurs circuits modifiés fréquemment, ce qui présente un défi encore plus important pour l'analyse du trafic. En outre, de nombreux services du darkweb sont hébergés sur des ordinateurs cachés dans les maisons plutôt que dans des centres de données formels. Cela signifie que les services eux-mêmes peuvent être transitoires et fluctuer, voire changer constamment d’emplacement physique.
Vulnérabilités du Darkweb
Analyse du trafic
Il existe deux principaux types d'analyse du trafic qui peuvent être effectués sur les nœuds du darkweb : l'analyse temporelle et la manipulation des données de traçage.
L’analyse temporelle fait référence à la capacité d’un adversaire à collecter des données à partir des nœuds d’entrée et de sortie du darknet. Si le darknet est utilisé comme proxy clearnet, il devra nécessairement utiliser les deux types de nœuds. Les informations du nœud d’entrée sont précieuses car elles connaissent l’adresse IP de la personne utilisant le darknet. Les nœuds de sortie sont précieux car ils connaissent la destination finale de l'utilisateur. En théorie, collecter suffisamment de données sur ces deux types de nœuds permettrait de corréler une requête entrant dans un nœud d’entrée (l’adresse IP de l’utilisateur) et une requête sortant d’un nœud de sortie (la destination finale de l’utilisateur). Si l'adversaire contrôle ces deux nœuds, alors la destination et l'adresse IP du demandeur peuvent être associées. Seuls Tor et I2P fournissent des nœuds de sortie. Les nœuds de sortie I2P sont nommésprocurationset sont rares. Freenet ne semble pas avoir une telle fonctionnalité, il ne peut donc être utilisé que pour accéder aux services Freenet.
La manipulation des données de traçage est une technique dans laquelle la manipulation délibérée des données sur le serveur Web final crée une empreinte digitale, par exemple en définissant une valeur d'en-tête unique dans une réponse HTTP. Il est possible d’observer cette même empreinte digitale chez le client, ce qui brise complètement l’anonymat du darkweb. .
Vous ne pouvez pas faire grand-chose pour empêcher l’analyse de votre trafic. Le mieux que vous puissiez faire est de fournir le moins d'informations possible à analyser en utilisant des éléments comme le navigateur Tor. Pour une couche de protection supplémentaire, la connexion à un VPN avant d’utiliser Tor peut non seulement masquer le fait que vous utilisez Tor à votre FAI, mais elle peut également masquer l’adresse IP de votre véritable FAI au nœud d’entrée du darknet.
Liens vers les ressources Clearnet
Même si Internet ne résout pas les noms de domaine du darknet, l’inverse n’est pas toujours vrai. Les noms de domaine Internet peuvent être résolus à partir des darknets Tor et I2P. Il est donc possible, et malheureusement courant au sein de Tor, que les sites du darkweb puissent inclure des liens vers du contenu du clear web.
Cela signifie que les propriétaires des serveurs Web clairs enregistreront les demandes de votre navigateur concernant ce contenu. Dans la plupart des cas, ils ne verront que votre adresse IP darknet, mais il s’agit toujours d’une autre piste qui mène à votre navigateur.
Javascript, Flash et WebRTC
Ces trois technologies sont très invasives. La navigation sur le Web sans ces technologies activées limite la quantité de données pouvant être envoyées au site Web. En général, votre type de navigateur, votre adresse IP et votre demande sont envoyées au site Web où elles peuvent être enregistrées. Javascript, Flash et WebRTC s'exécutent dans votre navigateur et ont donc accès à beaucoup plus d'informations sur votre système qui peuvent être envoyées au serveur Web ou à un autre outil de journalisation.
WebRTC est apparemment une série de protocoles permettant une communication peer-to-peer en temps réel, telle que celle utilisée dans les conférences Web. Une partie de ces informations est la véritable adresse IP d’un utilisateur, même si elle est cachée derrière un VPN ou un proxy anonymisant comme Tor. La plupart des navigateurs modernes, mobiles et de bureau, prennent en charge WebRTC par défaut, un site darkweb peut donc effectuer une requête WebRTC sur le navigateur d'un utilisateur pour obtenir la véritable adresse IP. Il existe des plugins pour Firefox et Chrome qui désactivent WebRTC dans ces navigateurs.
Adobe Flash®️ est depuis longtemps un risque de sécurité énorme . Après Javascript, Flash est une source d'informations très riche qui peut être utilisée pour empreinte digitale du navigateur. Flash perd en popularité en raison de la montée en puissance de HTML 5, qui remplace la plupart des fonctionnalités pour lesquelles Flash est généralement utilisé. Il est préférable de désactiver complètement Flash et de l’activer uniquement lorsque vous en avez besoin. Il existe des plugins pour Firefox et Chrome qui désactiveront Flash.
Javascript est généralement le la source unique la plus riche d'informations sur le navigateur et le système d'exploitation qui peut être utilisé pour empreintes digitales et suivre les utilisateurs. Javascript peut révéler des éléments très spécifiques sur votre ordinateur, tels que les plugins que vous avez installés, votre fuseau horaire, les polices de votre système, le système d'exploitation de l'ordinateur et même des détails sur le matériel de votre système, tels que les cartes graphiques.
Cependant, contrairement à Flash, Javascript est encore très utilisé sur Internet et il est donc moins pratique de le désactiver. Mais comme le dit le proverbe :. Il existe des plugins pour Firefox et Chrome qui bloqueront Javascript par défaut et vous permettront de l'activer au cas par cas, ou de mettre en liste blanche des domaines de confiance spécifiques qui seront autorisés à exécuter Javascript par défaut.
Fuites DNS
Le système de noms de domaine est l’annuaire téléphonique d’Internet. Il réconcilie l’adresse IP des serveurs Internet avec des noms de domaine lisibles par l’homme et dont nous pouvons facilement nous souvenir. Chaque fois que vous visitez un site, par exemple comparitech.com, votre ordinateur doit connaître l'adresse IP de comparitech.com avant que votre navigateur puisse accéder au site Web. Pour obtenir ces informations, votre ordinateur effectue une requête DNS. Si votre ordinateur a récemment visité le site, l'adresse IP est probablement mise en cache localement et l'utilisera. Mais si la réponse mise en cache a expiré ou si vous n’êtes jamais allé sur le site auparavant, votre ordinateur interrogera un serveur DNS sur Internet. Ces requêtes peuvent être enregistrées et fournir des informations sur les sites que vous avez visités. Si votre adresse IP indique qu'elle effectue une requête DNS pour comparitech.com, il y a fort à parier que vous avez ensuite visité comparitech.com.
Même lorsque vous utilisez un VPN pour acheminer votre trafic réel via Internet, votre ordinateur peut toujours utiliser les serveurs DNS de votre FAI pour ses requêtes. Cela laissera des journaux indiquant que vous avez visité certains sites, même si le contenu de ces visites est masqué par votre VPN.
Ce type de vulnérabilité est appeléFuite DNSet pour éviter les fuites DNS, vous devez vous assurer que vos requêtes DNS transitent par votre VPN avec tout votre trafic. Pratiquement tous Les clients VPN offrent une protection contre les fuites DNS , même si vous devrez peut-être l'activer. Si vous n'êtes pas sûr que votre VPN offre une protection contre les fuites DNS, vous pouvez visiter la page Comparitech DNS Leak Test pour le savoir.
Voir également: Meilleurs VPN pour Tor
Scripts de suivi ou d'analyse
Une étude récente portant sur 1,5 million de pages du darkweb (et non sur des sites) a montré que 27 % (plus de 400 000) les pages contenaient des scripts de suivi. Dans certains cas, ces scripts étaient des scripts analytiques conçus pour fournir des mesures de trafic au propriétaire du site, mais dans d'autres cas, ils pouvaient effectuer des empreintes digitales du navigateur pour identifier les traces d'utilisateurs individuels sur le darkweb.
Il est également important de considérer qu’il existe déjà de nombreux scripts d’analyse de trafic populaires. Par conséquent, les propriétaires de sites Web sombres sont plus susceptibles d’utiliser un script d’analyse existant plutôt que de lancer le leur. Dans ce cas, cela signifie que le script de trafic peut être utilisé à la fois sur le darkweb et sur le clear web. Si un utilisateur du darkweb utilise le même navigateur à la fois sur le darkweb et sur le clearweb, il serait possible de corréler l'empreinte digitale de son navigateur sur le darkweb à l'aide d'une adresse IP de nœud de sortie Tor, avec un navigateur sur le clear web utilisant une adresse IP identifiable d'un FAI. .
Étant donné que les scripts de suivi doivent s'exécuter dans un navigateur Web, ils sont généralement écrits en Javascript. Exécuter un plugin de blocage de script est le moyen le plus sûr d'éviter d'être suivi par ce type de script.
Doxing
Le doxing est la pratique de recherche et de collecte d'informations sur une personne ou une organisation. En général, on utilise des informations publiques disponibles en grande quantité sur Internet. A partir de quelques toutes petites informations, il est parfois possible de constituer un dossier très épais sur un internaute et éventuellement d'identifier la personne réelle.
En partant d’informations limitées telles que celles provenant d’un journal de serveur Web, il semblerait impossible de remonter à une personne réelle. Cependant, si cette adresse IP effectue suffisamment de visites au fil du temps, il peut être possible de déterminer le fuseau horaire probable de la personne. En fonction du sujet du site, il peut être possible de déterminer le sexe de l'utilisateur. Par exemple, l’achat de viagra après-vente sur un site de pharmacie darkweb indiquerait généralement un homme d’âge moyen. Si les empreintes digitales du navigateur sont suffisamment bonnes, il peut être possible de voir ce même navigateur utilisé dans les mêmes fuseaux horaires sur d'autres sites du darkweb, ce qui fournirait plus d'informations. Par exemple, un forum Web sombre sur les armes qui montre que cet utilisateur possède un certain type d'arme de poing. Nous avons maintenant quelques fils ténus à rassembler. Un homme d'âge moyen dans un fuseau horaire difficile avec certaines armes.
L'étape suivante consiste à transmettre ces informations aux sites et forums de médias sociaux du Web et à compiler le même type de données à partir d'informations accessibles au public. Il est évident que le doxing peut prendre beaucoup de temps, mais cela a été fait avec succès, et sans succès, à plusieurs reprises. . Les sources d’informations sur le doxing les plus riches sont les sites tels que les forums ou les sites de chat où les utilisateurs interagissent et écrivent beaucoup pour deux raisons :
- il est très difficile pour une personne de changer son style d'écriture, ce qui la rend vulnérable à analyse stylométrique entre les publications attribuables au Clear Web et les publications anonymes du Darkweb.
- chaque phrase écrite contient potentiellement plus d'indices sur l'auteur. Par exemple, un message de forum se plaignant de neige daté du mois d'août indique quelqu'un au sud de l'équateur. Ces informations, associées aux schémas de trafic qui indiquent le fuseau horaire, peuvent assez bien cibler un pays.
La technologie ne peut pas faire grand-chose pour se protéger contre le doxing. Il existe des outils qui réécriveront la prose en analyse stylométrique en feuille. Mais la meilleure protection contre le doxing est de faire de grands efforts pour s'assurer qu'aucune des informations ou activités effectuées sur le Web sombre peuvent être corrélés à des informations sur le Web clair.
Nœuds darknet empoisonnés
N’importe qui peut configurer un nœud darkweb . Par conséquent, il va de soi que tous les propriétaires de nœuds n’ont pas de nobles intentions. Certains nœuds peuvent être gérés par les forces de l'ordre pour faciliter l'analyse du trafic, tandis que d'autres peuvent en réalité être gérés par des criminels.
Après un grand retrait des services cachés de Tor en 2014 , le directeur de Tor, Andrew Lewman, a spéculé sur les manières possibles par lesquelles plus de 400 services cachés auraient pu être identifiés par les forces de l'ordre. Dans les mois qui ont précédé le retrait, le projet Tor a identifié certains relais malveillants qui ne se comportaient pas correctement. Ces relais Tor modifiaient les en-têtes de trafic dans le but de désanonymiser les utilisateurs. Lewman suppose que ces relais étaient exploités par les forces de l'ordre.
Cependant, il ne s’agit pas toujours d’application de la loi. Les criminels vivent également sur le darkweb et tenteront également de voler vos identifiants de connexion.
Un chercheur en sécurité était curieux de savoir si les nœuds de sortie Tor étaient fiables. Elle a créé un site Honeypot Bitcoin sur ClearWeb. L'étape suivante consistait à obtenir une liste de nœuds de sortie Tor, puis à créer une liste de mots de passe uniques. Elle s'est ensuite connectée au site du pot de miel exactement une fois pour chaque nœud de sortie, en utilisant le mot de passe unique attribué à ce nœud de sortie. La méthodologie ici est que la seule façon pour quiconque d'obtenir le mot de passe du site était d'espionner le trafic sur le nœud de sortie Tor. Rappelez-vous que seul le nœud de sortie Tor connaît la destination finale de la requête, donc le nœud de sortie serait le seul endroit où l'URL du site honeypot et la combinaison nom d'utilisateur et mot de passe existeraient en clair.
Quelques notes sur l'étude :
Les connexions ont été effectuées via HTTP afin de permettre au nœud de sortie Tor de pouvoir lire le trafic.
Les mots de passe n’ont jamais été stockés en ligne afin d’éliminer toute possibilité d’obtention d’une autre manière.
Au cours d’un mois, près de 30 connexions ont été tentées à partir de 15 nœuds de sortie Tor. La seule conclusion raisonnable est que ces opérateurs de nœuds de sortie Tor volaient délibérément les informations d’identification et tentaient de se connecter au site honeypot.
Les nœuds du darkweb empoisonnés seraient probablement totalement indétectables par les utilisateurs. Tor tente d'identifier les nœuds fiables et leur attribue le drapeau de garde « G » par consensus communautaire. Mais deux des nœuds qui ont volé les mots de passe du site Honeypot Bitcoin mentionnés précédemment étaient des nœuds Guard, de sorte que ce désignateur ne semble pas exprimer de confiance.
Vous quittez peut-être cet article en pensant qu’il n’y a tout simplement aucun moyen de rester anonyme sur le darkweb. C’est probablement vrai, mais cela ne veut pas dire que vous ne pouvez pas bénéficier de son anonymat et de sa confidentialité. Une vérité est qu’un adversaire bien financé et compétent sera presque certainement capable de désanonymiser toute personne ciblée. L’autre vérité est que la plupart d’entre nous ne sont pas la cible d’un adversaire bien financé et compétent. La connaissance, c'est le pouvoir et connaître les limites du niveau d'anonymat que le darkweb peut offrir vous permettra de préparer vos outils et votre comportement pour en tirer le meilleur parti.
Maskatron sous licence CC PAR 2.0