Shoutbox :
Shoutbox :
Dan egerstad @ tor diplomatic disclosure
Par 4n9e le 15-11-2007
Le consultant en securite Dan Egerstad capture sur le reseau Tor la correspondance de plusieurs instances gouvernementales et diplomatiques
Le consultant en securite Dan Egerstad a ete arrete chez lui par les services de securite suedois pour avoir intercepte des miliers de correspondances e-mail entre des diplomates et des entites gouvernementales du monde entier au mois d'aout dernier.
Son materiel saisi, il a ete interroge plusieurs heures par la police puis relache sans qu'aucune charge n'ait ete retenue contre lui.
La technique utilisee est a la fois assez simple, mais necessite toutefois une certaine infrastructure. Dans le cadre de tests de vulnerabilite du reseau Tor, Dan Egerstad s'est configure 5 serveurs en noeuds du reseau au sein de divers data centers disperses dans le monde. Ces 5 serveurs n'ont en realite pas fonctionne en tant que simples noeuds du reseau Tor, mais en tant que serveurs-frontiere en entree et en sortie de celui-ci.
Si beaucoup de personnes connaissent le reseau Tor en tant que protection acceptable de l'identite de la source des requetes sur Internet, il faut constater que peu parmis elles en comprennent le fonctionnement. Un amalgame est tres vite fait entre l'anonymite fournie par ce concept et le caractere confidentiel des informations qui y transitent. Lorsque l'utilisateur passe par le reseau Tor pour le transfert de ses donnees en ligne, il penetre le reseau par un des points d'acces en cryptant ses donnees avec la cle publique du dernier noeud, et ressort de ce dernier noeud en clair vers le destinataire final au travers de ces serveurs-frontiere. Le transit a travers les differents noeuds du reseau Tor est quant a lui crypte.
Pour ses recherches, Dan Egerstad a configure en outre un sniffing systematique des flux de donnees sur ses serveurs, avec un filtrage par mots-cles. Si dans les premiers temps de son etude le suedois constate amerement que la plupart du traffic sur Tor est constitue a 80% de pornographie, sa surprise est grande lorsque par hasard ses filtres lui renvoient un premier mail semblant presenter la correspondance entre plusieurs employes gouvernementaux (le pays ne sera pas cite.). Affinant alors ses filtres en ce sens, il obtient rapidement une grande quantite de correspondances gouvernementales et diplomatiques de differents pays, sur plus d'un millier de comptes e-mail. Dans le cadre de la connexion des utilisateurs, il en obtient en outre les login:passes. La premiere alerte serieuse provient d'une correspondance entre la representation diplomatique suedoise et certains membres du gouvernement chinois avec visites, plannings et deplacements des equipes.
A ce stade, Dan Egerstad est confronte a un dilemne : rendre compte de cette attaque aux services de securite de son pays risque de mener selon lui a de l'espionnage, idee qu'il refuse absolument. Ne rien faire est tout aussi inacceptable, d'autant qu'un nouvel element apparait : les tentatives suspectes de logins rates sur ces comptes e-mail avec des credentials provenant d'autres comptes reels lui font penser que si ces correspondances transitent sur le reseau Tor, ce n'est finalement peut etre pas parceque les utilisateurs legitimes tentent de se securiser, mais parceque ces comptes sont deja compromis par d'autres hackers qui les consultent sous ses yeux !
Dan Egerstad prends donc le parti d'en informer individuellement chaque pays concerne. C'est peut etre etonnant, peut etre pas, mais aucunes de ces instances ne repondra a ses alarmes a l'exception d'un seul pays : l'Iran. Ce dernier veux savoir tout ce que Dan Egerstad sait, et la facon dont il l'a obtenu.
Face au silence des victimes, il decide alors de prouver ses dires publiquement en publiant sur son site (derangedsecurity.com, depuis mis hors-ligne) une centaine de ces comptes mail avec les login:passes. Il choisis ces comptes selon le niveau de confidentialite qu'il accorde a ce moment au contenu suscpetible d'y transiter.
La reaction ne se fait pas attendre, et en 24 heures le site est ferme et au petit matin Dan Egerstad est arrete lors d'une operation de police qui, selon son temoignage, n'a rien envier aux plus mauvais films sur le sujet. Il est sans doute denonce par n3td3v, a la suite d'un echange houleux sur le theme du full disclosure sur la mailling-list eponyme.
Selon lui, n'importe qui peut potentiellement reproduire cette attaque, si tant est qu'il ait les moyens de sa politique : si participer au reseau Tor est extremement simple et gratuit, sans necessiter de connaissances particulieres, devenir un noeud de sortie du reseau est moins simple. En effet de telles machines doivent satisfaire a certaines conditions, notament en terme de localisation mais surtout de bande passante. Il s'agira donc selon ses etudes de grands serveurs dont le prix de location mensuelle fleurte avec le millier de dollards.
Si il est evident que le commun des mortels ne peut s'offrir ce luxe, il est tout aussi evident que les services "officiels" ne doivent pas s'en priver. Sur la seule ville de Washington et sa region, et suite au Patriot Act, ce sont pas moins de 6 de ces serveurs qui seraient monitores par les services de securite americains.
L'interview telephonique de Dan Egerstad (20', 8.3Mo)
4N9e pour FutureZone, 2007