Tor : une nouvelle faille vient d’être détectée

Tor compte de nombreux adeptes à travers le monde et cela n’a rien de surprenant compte tenu de ce que propose la solution. Si vous en faites partie, alors ces quelques lignes devaient beaucoup vous intéresser. Des chercheurs en sécurité ont en effet trouvé une nouvelle faille au sein de la solution, une faille qui met en danger l’anonymat des utilisateurs.

Si ces trois lettres n’évoquent rien en vous, alors sachez qu’elles font référence à un réseau informatique mondial et décentralisé reposant sur plusieurs serveurs, ou plusieurs nœuds.

Faille Tor

Tor vient de colmater une vilaine faille, il va falloir penser à mettre à jour votre logiciel.

Exactement comme internet, donc, à un détail près : le protocole utilisé par ce réseau anonymise toutes les connexions TCP. Combiné au navigateur proposé en parallèle, il est donc capable de préserver l’anonymat de ses usagers.

Tor n’était pas assez regardant sur les certificats

Comme indiqué un peu plus haut, des experts en sécurité ont récemment détecté une nouvelle faille dans la solution, une faille reposant sur une mauvaise vérification de ses certificats de sécurité.

A la base, Tor utilise une fonction spécifique pour s’assurer que le certificat proposé correspond bien au site associé, mais la solution intègre une exception pour tous les sites de Mozilla. Là, elle utilise une méthode de vérification statique assez simple à contourner.

Il suffirait donc qu’un attaquant dispose d’un faux certificat pour le domaine de la fondation afin qu’il puisse intercepter les requêtes de mises à jour et les remplacer par son propre code. Cette technique n’est évidemment pas simple à mettre en oeuvre, mais elle reste accessible pour les hackers chevronnés et pour les agences gouvernementales.

La faille est corrigée, mettez à jour vos logiciels !

L’équipe responsable de cette découverte a immédiatement fait remonter le problème aux développeurs travaillant sur le projet et ces derniers ont corrigé le problème dans la foulée, avec la version 6.0.5. Il suffit ainsi de l’installer pour colmater la brèche.

Firefox est lui aussi concerné par le problème. Fort heureusement, Mozilla a développé un patch de son côté et il est intégré à la dernière nighty build. Il le sera aussi à la prochaine version stable, une version attendue avant la fin de la journée.