Tor Browser 11.0.2, un navigateur spécialisé axé sur l'anonymat, la sécurité et la confidentialité, est disponible. Avec Tor Browser, tout le trafic est redirigé exclusivement via le réseau Tor, rendant impossible tout accès direct via la connexion réseau standard du système et empêchant ainsi le traçage de l'adresse IP réelle de l'utilisateur. (En cas de piratage du navigateur, les attaquants peuvent accéder aux paramètres réseau du système ; il est donc recommandé d'utiliser des solutions comme Whonix pour bloquer toute fuite potentielle.) Les versions de Tor Browser sont compatibles avec Linux, Windows и macOS.
Pour plus de sécurité, le navigateur Tor inclut le module complémentaire HTTPS Everywhere, qui permet le chiffrement du trafic sur tous les sites web lorsque cela est possible. Pour atténuer la menace des attaques JavaScript et bloquer les plugins par défaut, le module complémentaire NoScript est inclus. Des transports alternatifs sont utilisés pour lutter contre le blocage et l'inspection du trafic. Pour se protéger contre les fonctionnalités spécifiques aux visiteurs, les API suivantes sont désactivées ou limitées : WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices et screen.orientation. Les outils d'envoi de télémétrie, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket et « link rel=preconnect » sont également désactivés, et libmdns est modifié.
La nouvelle version est synchronisée avec le code source de Firefox 91.4.0, qui corrige 15 vulnérabilités, dont 10 qualifiées de critiques. Sept de ces vulnérabilités sont dues à des problèmes de mémoire, tels que des dépassements de tampon et des accès à de la mémoire précédemment libérée, et pourraient potentiellement permettre l'exécution de code malveillant lors de l'ouverture de pages spécialement conçues. (Extrait de la version de la plateforme) Linux Certaines polices TTF ont été supprimées, car leur utilisation entraînait des perturbations dans l'affichage du texte dans les éléments d'interface de Fedora. LinuxLe paramètre « network.proxy.allow_bypass », qui protège contre l'utilisation incorrecte de l'API Proxy dans les extensions, a été désactivé. La nouvelle passerelle « deusexmachina » est activée par défaut pour le transport obfs4.
Parallèlement, la saga du blocage de Tor se poursuit en Russie. Roskomnadzor a modifié la dénomination des sites web bloqués dans le registre des sites interdits. domaines Le nom de domaine « www.torproject.org » a été remplacé par « *.torproject.org », et la liste des adresses IP bloquées a été étendue. De ce fait, la plupart des sous-domaines du projet Tor ont été bloqués, notamment blog.torproject.org, gettor.torproject.org et support.torproject.org. Forum.torproject.net, hébergé sur l'infrastructure Discourse, reste accessible. Gitlab.torproject.org et lists.torproject.org sont partiellement accessibles ; initialement inaccessibles, ils ont été rétablis par la suite, probablement en raison du changement d'adresse IP (gitlab pointe désormais vers l'hôte gitlab-02.torproject.org).
Dans le même temps, le blocage des passerelles et des nœuds du réseau Tor, ainsi que de l'hôte ajax.aspnetcdn.com (CDN de Microsoft) utilisé pour le transport sécurisé, a cessé. Apparemment, les expérimentations de blocage des nœuds du réseau Tor ont été abandonnées après le blocage du site web Tor. La situation du miroir tor.eff.org, qui continue de fonctionner, est complexe. En effet, ce miroir est lié au même serveur. adresse IP, qui est utilisé pour le domaine eff.org de l'EFF (Electronic Frontier Foundation), bloquer tor.eff.org entraînera donc un blocage partiel du site d'une organisation de défense des droits humains bien connue.
Par ailleurs, un nouveau rapport sur d'éventuelles tentatives de désanonymisation d'utilisateurs Tor liés au groupe KAX17, identifiés par de fausses adresses e-mail spécifiques dans leurs paramètres de nœud, mérite d'être signalé. En septembre et octobre, le projet Tor a bloqué 570 nœuds potentiellement malveillants. À son apogée, le groupe KAX17 a réussi à porter le nombre de nœuds qu'il contrôlait sur le réseau Tor à 900, hébergés par 50 fournisseurs différents, représentant environ 14 % du nombre total de relais (à titre de comparaison, en 2014, les attaquants ont réussi à prendre le contrôle de près de la moitié des relais Tor, et en 2020, de 23.95 % des nœuds de sortie).
Le déploiement d'un grand nombre de nœuds sous le contrôle d'un seul opérateur permet la désanonymisation des utilisateurs via une attaque de type Sybil, réalisable si les attaquants contrôlent le premier et le dernier nœud de la chaîne d'anonymisation. Le premier nœud d'une chaîne Tor connaît l'adresse IP de l'utilisateur et le dernier celle de la ressource demandée. La désanonymisation de la requête est alors possible grâce à l'ajout d'une balise cachée aux en-têtes de paquets du nœud d'entrée, qui reste inchangée tout au long de la chaîne d'anonymisation, et à l'analyse de cette balise au nœud de sortie. Grâce aux nœuds de sortie contrôlés, les attaquants peuvent également modifier le trafic non chiffré, par exemple en supprimant les redirections vers les versions HTTPS des sites web et en interceptant le contenu non chiffré.
Selon les représentants du réseau Tor, la plupart des nœuds supprimés à l'automne servaient uniquement de nœuds intermédiaires, et non de traitement des requêtes entrantes ou sortantes. Certains chercheurs ont noté que les nœuds appartenaient à toutes les catégories, et que la probabilité d'atteindre un nœud d'entrée contrôlé par le groupe KAX17 était de 16 % et un nœud de sortie de 5 %. Même si cela est vrai, la probabilité globale qu'un utilisateur atteigne simultanément un nœud d'entrée et un nœud de sortie pour le groupe de 900 nœuds contrôlé par KAX17 est estimée à 0.8 %. Il n'existe aucune preuve directe que les nœuds KAX17 aient été utilisés pour mener des attaques, mais de telles attaques ne peuvent être exclues.
Source: opennet.ru
