Black Hat 2014 : l'exposé « désanonymiser Tor » annulé
Une présentation portant sur les moyens d'identifier les utilisateurs du réseau d'anonymisation Tor a été supprimée du programme de la conférence Black Hat USA, la grand-messe dédiée à la cybersécurité qui ouvrira ses portes à Las Vegas du 2 au 7 août prochains.
L'exposé des chercheurs Alexander Volynkin et Michael McCord intitulé « Vous n'avez pas besoin d'être la NSA pour briser Tor : désanonymiser les utilisateurs sans se ruiner » (en anglais, « You don't have to be the NSA to break Tor: De-anonymizing users on a budget ») a été annulée à la demande d'avocats du Software Engineering Institute (SEI) de l'université Carnegie Mellon (Pittsburgh). Et ce au motif que la diffusion publique des travaux d'Alexander Volynkin sur le sujet n'a pas été approuvée par l'établissement.
Les liens entre l'Université Carnegie Mellon et Washington
Une telle annulation lors d'une conférence Black Hat est rare, mais pas sans précédent. Toutefois, dans le cas présent, il n'a pas été précisé à quel point la présentation annulée impliquait l'institut universitaire et, indirectement, Washington. Le SEI reçoit d'importants financements du Département de la défense américain et abrite le CERT (Computer Emergency Response Team) travaillant sur des problématiques de cybersécurité avec le Département de la sécurité intérieure des États-Unis (Homeland Security). Pour le gouvernement américain et ses agences de renseignement, NSA en tête, le réseau Tor est une arme à double tranchant. Tor permet de rendre anonyme les échanges Internet basés sur le protocole TCP, que ces échanges servent des actions légales ou criminelles. Était-il préférable de maintenir le flou sur les moyens de désanonymiser les utilisateurs de Tor ?
Tor mis à nu pour moins de 3000 dollars ?
Dans un billet daté du 21 juillet, les animateurs du projet Tor ont indiqué ne pas avoir demandé au CERT ou aux organisateurs de la conférence Black Hat d'annuler la présentation, dont ils disent ignorer les détails. Par ailleurs, ils ont réaffirmé « encourager la recherche sur le réseau Tor et la divulgation responsable de toutes les nouvelles attaques » pour combler les failles de sécurité. L'université Carnegie Mellon et l'administration Obama n'ont pas commenté l'annulation des débats. Alexander Volynkin et Michael McCord ont adopté la même attitude. Dans leur introduction désormais disparue du programme de Black Hat USA 2014, les chercheurs indiquaient : un « adversaire déterminé » pourrait « désanonymiser des centaines de milliers de clients Tor et des milliers de services cachés en quelques mois, le tout pour moins de 3000 dollars ».
Lire aussi
La NSA traque un autre Snowden en surveillant Tor et Tails ?
Lire aussi : PaaS et multicloud, une antinomie ?
Restrictions de visas pour les chinois allant au Defcon et Black Hat
Sur le même thème
Voir tous les articles Business