Pour se connecter et surfer via le réseau anonyme TOR, il est nécessaire d'utiliser un logiciel client. Grâce au "Tor Browser Bundle", les utilisateurs Windows, Linux ou MacOS sont servis : il y a tout ce qu'il faut pour se connecter rapidement.

Maintenant il est possible de se connecter à TOR depuis un mobile !

Covert Browser pour iPhone et iPad

Ceux qui sont sous iPhone et iPad pourront installer le logiciel "Covert Browser" depuis l'AppStore. Une fois celui-ci  installé, c'est très simple. Dès son lancement, elle initialise la connexion au réseau TOR et propose une interface épurée sous la forme d'un navigateur intégré.

Par défaut, votre point de sortie du réseau TOR change de façon automatique. Si on le souhaite, il est possible de passer en mode manuel afin de choisir son point de sortie du réseau TOR. Pas de bookmarks ni de fonctions de partage type Tweeter ou Facebook : ce n'est pas plus mal. Par contre une fonction permet d'effacer son historique, très bien.

Avec cette application, il est possible de surfer via TOR depuis une connexion Wifi mais aussi via une connexion 3G. Par contre, au cours des tests, il est nécessaire de re-démarrer l'application lorsque l'on passe de l'une à l'autre.

Dans les deux cas, ne vous attendez pas à surfer à la vitesse de l'éclair : le réseau TOR reste "lent" par rapport à une connexion directe ! L'anonymat a son prix...

pour ceux qui ont jailbreaké leur système

Du coté des bidouilleurs qui ont jailbreaké leur iPhone/iPad, ils peuvent se lancer dans l'installation du portage du client TOR de Sid77. La procédure d'installation est clairement un peu plus technique que dans le cas de Covert Browser : ce n'est pas monsieur ou madame tout le monde qui se lancera dans de telles manipulations.

Une fois le paquet installé selon la procédure fournie, on reconfigure ses paramètres de proxy et c'est fini... le "bénéfice" de cette méthode c'est que toutes les applications utiliseront le réseau TOR (et pas uniquement le navigateur). Cette méthode est donc un peu plus générique que Covert Browser. Par contre, ce seront toutes les applications qui seront "ralenties" par la connexion TOR... donc pas foncièrement très cool pour une utilisation de tous les jours.

possible aussi sous Android

Ceux qui sont sous Android pourront se connecter au réseau TOR grâce à l'application "Orbot" que propose "The Guardian Project". L'installation d'Orbot se fait via l'Android Market. Une fois celle-ci en place, il est possible de sélectionner si l'on souhaite que TOR soit utilisé pour toutes les applications ou seulement certaines. La souplesse est donc au rendez-vous.

pour ceux qui ne connaissent pas TOR

TOR est un réseau anonyme permettant notamment de surfer sur Internet en conservant son anonymat. Le site officiel de TOR vous en dira plus. Cette vidéo des 5 minutes du professeur Audenard en présente les principes de fonctionnement.

Restons lucides. Le réseau TOR, comme tout système informatique un brin complexe, a des failles. Je vous renvoie aux articles d'Eric Filiol concernant quelques-unes de ses faiblesses (here & here). L'annonce d'Eric Filiol a fait couler pas mal d'encre lors de sa publication fin 2011. Le projet TOR a publié un article disant que tout cela était un peu exagéré.

Je ne suis pas rentré dans les détails sur qui avait raison. Pour autant le réseau TOR reste un moyen de protection intéressant de son anonymat pour le commun des mortels.

ça fonctionne bien Orbot ?

N'ayant pas de mobile Android, je n'ai pas pu tester Orbot. Si vous le testez, laissez-nous un message pour nous dire !

Jean-François

crédit photo : © Delphimages - Fotolia.com

raison 1 : Aidez-moi à ne pas tomber dans la facilité en supprimant les tentations.

Face à ce constat personnel et pour plus d’objectivité, j’ai donc décidé de réaliser une petite séance de wardriving dans mon quartier pour voir si je pouvais obtenir des résultats cohérents confirmant ou infirmant mon sentiment.

Le wardriving consiste à scanner les réseaux WiFi détectables depuis des lieux publics, par le biais d'un ordinateur portable muni d'une carte réseau sans fil.

raison 2 : Parce que je n’ai jamais eu l’occasion avant aujourd’hui de jouer à faire du wardriving.

raison 3 : La simplicité de l’action la place à porter de tout un chacun. Toute personne utilisant un système avec une carte WiFi peut réaliser cette action, soit toute personne avec un smartphone finalement.

Les résultats de mon échantillonnage ont donné les indications suivantes :

• Lieu : Paris
• Arrondissement des échantillonnages : 5°, 11°, 13°, 14°, 19°
• Nombre d’échantillonnages : 8
• De 80 à 196 réseaux WiFi détectés sur les sites d’échantillonnage
• Nombre total de réseaux analysés : 1083

On notera que les différents quartiers parisiens observés sont socialement assez différents. Les données de mon échantillonnage étant relativement proches quelque soit l’arrondissement, ce paramètre semble donc à exclure dans l’analyse qui peut être faite.

Il faut noter que dans les réseaux non chiffrés, un grand nombre viennent des accès que les utilisateurs acceptent de partager. Cette donnée est donc à nuancer très fortement, voire à exclure. De même, le réseau freephonie en WPA n’est pas géré réellement par les utilisateurs eux-mêmes. Il a donc été également supprimé des statistiques. Après retraitement, nous nous retrouvons donc avec les chiffres suivants :

• De 70 à 155 réseaux WIFI détectés sur les sites d’échantillonnage
• De 4% à 27% de réseaux non protégés (pas de chiffrement) avec une moyenne à 12%
• De 12% à 24% de réseaux chiffrés avec du WEP avec une moyenne à 18%
• De 41% à 55% de réseaux chiffrés avec du WPA avec une moyenne à 48%
• De 15% à 40% de réseaux chiffrés avec du WPA2 avec une moyenne à 23%

(Pour les malins qui auraient envie de s’amuser à additionner les pourcentages, la somme donne 101%, ne perdez pas votre temps. Le point en trop vient des arrondis successifs dans les calculs.)

Si l’on considère que le WEP n’est plus un protocole sécurisé, cela nous laisse donc avec une moyenne de 30% de réseaux facilement accessibles.

Par ailleurs en regardant les modèles de box identifiables, il ressort trois tendances :

• Certains fournisseurs d’accès proposent de facto un système sécurisé mais avec probablement peu de possibilités de paramétrages (la présence majoritaire de certains fournisseurs sur certains niveaux de sécurité me poussent à proposer cette conclusion). Néanmoins, avoir du WPA déployé de façon générique et auprès d’une majorité d’utilisateurs est déjà un bon en avant tout à fait satisfaisant.
• D’autres proposent de nombreuses fonctionnalités et paramètres à prendre en compte, mais qui sont probablement rarement utilisés par les utilisateurs, ces derniers ayant probablement une tendance vers les mises en œuvre les plus simples.
• Une gestion hétérogène des périphériques achetés et mis en œuvre par les utilisateurs.

raison 4 : Parce que si une box est dans une version obsolète, plutôt que de laisser les choses en place, il peut être intéressant de commander la nouvelle et obtenir ainsi une sécurité améliorée. Les mises à jour n’apportent pas forcément que des gadgets.

raison 5 : Parce qu’on ne peut pas considérer un utilisateur comme un expert technique lorsque l’on a un parc de plusieurs millions de point d’accès.

raison 6 : Parce que certaines têtes dures ont toujours du mal à croire qu’il est extrêmement simple de casser le WEP. Pour les convaincre, une petite vidéo.

La vidéo ne s'affiche pas ? Visionnez-la ici (ou même sur YouTube)

raison 7 : Parce que le type de software utilisé dans la vidéo tourne désormais sur des smartphones. Là ou il y a quelques années nous pouvions nous étonner de voir quelqu’un avec son PC dans la rue, qui serait aujourd’hui choqué de voir la même personne tapoter sur son smartphone ?

Vous êtes l’utilisateur que je soupçonne de ne pouvoir être un geek ? Vous êtes choqué par ce soupçon ? Alors montrez moi que j’ai tort et passez les dix minutes complémentaires nécessaires pour bien configurer votre accès et éviter qu’il puisse servir à une tierce personne.

raison 8 : Parce que si l’on ne peut pas faire confiance à un utilisateur normal, c’est encore plus dur avec un apprenti technophile. Plus la confiance en ses capacités est là et plus le risque d’erreurs est présent. Même si le mode d’emploi est fourni sur un CD ou doit être téléchargé, il y a toujours de petites options que l’on découvre et qui ne peuvent remonter à la surface autrement qu’en lisant la documentation. Alors faites-le !

raison 9 : Parce qu’un réseau mal sécurisé permettra d’accéder à l’interface d’administration qui a tout autant de chances d’être mal sécurisée également. Il sera donc possible de se créer son propre SSID pour avoir son petit accès privé, et probablement mieux sécurisé que le réseau du propriétaire…

Pour ceux qui revendiquent une autonomie et donc une gestion avec leur propre matériel, quelques points à ne pas oublier :

• Mise en œuvre de WPA2, c’est évident, mais j’aime bien me répéter. 
• Authentification 802.1X si possible.
• Masquage du SSID.
• Filtrage complémentaire basé sur l’enregistrement des adresses MAC à considérer. Vous n’êtes pas convaincu ? Alors dites vous que cela forcera le squatteur à faire du MAC spoofing. C’est une étape de plus, donc un petit agacement pour lui. S’il ne voulait pas être embêté, il fallait rester honnête.
• Si la force du signal est un paramètre disponible, travaillez dessus pour le réduire au minimum. Cela limitera la diffusion et donc les possibilités d’exploitation. Sinon considérer qu’un signal moins fort ne peut qu’être meilleur pour les personnes dans l’environnement direct et plus green car consommant moins d’énergie.

Et pour sortir de cette liste de préconisations bien connue et essayer d’amener une petite nouveauté, n’oubliez pas de rajouter « _nomap » à la fin de votre SSID. Cela vous permettra théoriquement d’échapper au service de recensement des accès de google.

raison 10 (enfin !): Parce qu’un réseau WiFi bien configuré est plus sécurisé que la plupart des réseaux physiques.

ma conclusion

Il est toujours possible d’avoir un accès Internet gratuit à peu près partout dans Paris simplement en se connectant sur un réseau ouvert ou en utilisant un outil pour casser le WEP. Il n’est même pas utile de monter en complexité en cherchant à casser du WPA.

Si je voulais devenir un hacker et perpétrer un forfait, devinez quel serait probablement l’origine de ma connexion Internet ? Et oui… certainement pas ma ligne officielle. Un point plus que gênant si l’on considère que la direction des points juridiques actuels semble rendre l’utilisateur responsable de la sécurité de son installation et de l’usage qui en est fait… même s’il est piraté. A lui d’amener les preuves du forfait.

Cédric

crédit photo : © Kirill_M - Fotolia.com

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps.

Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps présentation

Ne vous êtes-vous jamais demandé ce que signifiait "Mise à jour de sécurité cumulative pour les kill bits ActiveX" dans la description d'un bulletin de sécurité Microsoft ?

Pour faire simple, les killbits sont à la sécurité des contrôles ActiveX ce que les sites pornos sont au contrôle parental : simples, indispensables et quasiment indissociables.

Les contrôles ActiveX sont des composants logiciels, intégrés au sein des pages web, qui sont exécutés sur un poste client via le navigateur web - principalement voire uniquement Internet Explorer à ce jour. Chaque composant ActiveX possède un identifiant unique global (GUID ou CLSID), codé sur 16 octets, soit 128 bits.

En raison des problèmes de sécurité induits par certains contrôles ActiveX (codes malveillants par exemple), Microsoft a introduit au sein de la base de registre Windows, une solution permettant d'indiquer à Internet Explorer si un contrôle ActiveX ne doit pas être exécuté (quelque soit le choix de l'utilisateur).

Concrètement, le killbit est une valeur spécifique (0x00000400) associée à une clé nommée "Compatibility Flag" contenue dans la branche "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<ActiveX-GUID>".

slurps plus

La liste des killbits est ouverte, simplement compréhensible et ne demande que très peu d'intelligence au navigateur pour interdire l'exécution de contrôles ActiveX malveillants.

De la même manière, il est relativement aisé pour Microsoft de mettre à jour la liste des killbits et de publier les fameuses "Mise(s) à jour de sécurité cumulative pour les kill bits ActiveX".

Autre point intéressant, la mise en place d'un scanner de composants malveillants est à la portée de tous, puisqu'il suffit de comparer la liste noire contenue dans le base des registres, à la liste des contrôles installés et disponibles pour Internet Explorer...

Malheureusement, la liste des avantages d'un tel mécanisme de protection s'arrête là...

slurps moins

Si le positionnement d'un killbit peut être fait même si le contrôle ActiveX concerné n'est pas installé sur le poste client, ce type de sécurité reste préventif et réactif. Rien de garanti à l'utilisateur qu'il possède une liste de killbits exhaustive.

De même, la simplicité de maintenance des killbits entraîne à l'inverse une simplicité pour celui qui souhaiterait les contourner : une attaque 0-day pourrait introduire des modifications au sein de la base de registre et réactiver ainsi (même temporairement) l'exécution d'anciens composants ActiveX, toujours présent sur des sites web infectés.

Parmi les autres inconvénients de la solution, nous noterons aussi le problème suivant : lorsqu'un éditeur découvre une faille dans un contrôle ActiveX de son cru (ex: Odobe QuockTome), s'il publie un killbit associé à son GUID, le code HTML de toutes les pages web utilisant cet identifiant devront être mises à jour. D'où l'absence systématique de passage en killbits de certains composants non sécurisés.

slurps bonus

Plutôt que de vous offrir de scabreux jeux de mots à partir de killbit, je vous propose une liste de liens qui permettront à ceux qui sont intéressés, d'aller plus loin sur le sujet :

• Présentation de la fonctionnalité "Kill bit" (Cert-IST)
• Bloquer les Contrôles ActiveX dangereux (Cert-IST)
• Les contrôles ActiveX et le Kill-Bit
• Kill Bit Action Process (Microsoft)
• The Kill-Bit FAQ : partie 1, partie 2, partie 3 (Microsoft Technet)
• Internet Explorer Kill-Bits (Cert US)

 Bon week-end et ne négligez pas la mise à jour de vos killbits.

Vincent