Fév 172012
 

Dans mes deux articles prédécents, j’expliquais comment l’« attaque » de Filiol avait affreusement mal quantifié et référencé les Bridge Relays du réseau Tor, puis comment il avait recyclé un procédé de « Packet Spinning » exposé en 2008.
Celui-ci se concentrera sur le troisième aspect de cette « attaque », à savoir la mise à mal des trois niveaux de chiffrement utilisés par Tor, laissant les communications claires comme de l’eau de roche pour l’attaquant, tant de par son contenu que ses origines et destinations.

Voyons de plus près ce qui se cache derrière la déclaration la plus audacieuse de l’équipe de Filiol, mais également la plus opaque, la plus imprécise, et la plus mystérieuse de tout son procédé.

Cette partie devait être la plus intéressante, puisque par élimination, ça devait être la seule apportant quoi que ce soit de nouveau sur la table, contrairement aux deux premiers aspects déjà discutés ici.

Le chiffrement de Tor complètement décimé par l’attaque de Filiol…

Les déclarations furent imprécises, variables, et incohérentes au possible, mais qu’il s’agisse d’un déchiffrement entier ou partiel de la communication, la tendance semblait préoccupante pour la technologie Tor.

Car je le rappelle, la philosophie de la technologie Tor est de fournir un anonymat à ses utilisateurs via de multiples couches de chiffrement relatifs à de multiples relais choisis au hasard.
Retirez le chiffrement de l’équation, et vous avez un anonymat du niveau de ce que l’on faisait en 1995, « efficace » contre les attaques connues dans les années 90.

Le résultat en est une technologie vous rendant invisible… dès lors que votre adversaire a délibérément décidé de garder les yeux fermés.

Vous conviendrez que cette annonce a de quoi inquiéter le demi-million de personnes à travers le monde ressentant le besoin d’utiliser Tor chaque jour de la semaine.

Le Threat Model du réseau Tor

Ceux ayant lu mes articles dans l’ordre, et ayant particulièrement commencé par mon article détaillant clairement le principe de fonctionnement de Tor, se rappelleront que toute la magie du procédé de Tor est de passer par trois relais aléatoires.

Ceux ayant suivi attentivement se rappelleront également que dès lors que quelqu’un était capable d’écouter chaque point entre le client, les relais, et la destination en même temps, il était capable de déterminer à la fois l’origine, la destination, et le contenu exact de la communication.

Ces quelques informations constituent, en très gros, ce qu’on appelle le « Threat Model » de la technologie Tor.
Pour faire simple, le Threat Model est une description des scénarios dans lesquels un outil de sécurité offre efficacement un service, et dans quels scénarios il est soit inefficace, soit dangereusement contre-productif.

Ce Threat Model, établi en même temps que la technologie Tor en 2003, décrit dès le départ ce scénario dans lequel Tor sait qu’il ne peut rien, et ne prétendra jamais être efficace. Tor est le Superman de l’anonymat en ligne, et à l’instar de celui-ci, il évitera sa Kryptonite comme la peste.

C’est pour se prémunir de ce cas de figure bien connu que les relais sont choisis aléatoirement, qu’il est important que leur nature, origine, fournisseur d’accès internet et propriétaires soient aussi divers que possibles, c’est également pour éviter cela que la notion de « Entry Guard » a été introduite.

Bref, ce n’est pas nouveau, et il existe un paquet de dispositifs sensés rendre ce cas de figure aussi mathématiquement improbable que possible, afin d’assurer l’anonymat des communications transitant via Tor.

Ce que Filiol nous expose est certainement intéressant s’il permet de ne pas avoir à compromettre les trois relais de la communication à la fois. Ce faisant, il rendrait inutiles les dispositifs d’Entry Gard et l’architecture même du réseau Tor, et en accord avec la définition communément acceptée d’une sécurité « cassée », il aurait effectivement « cassé » Tor en exposant un nouveau moyen plus facile et efficace de compromettre une communication.

…sauf qu’en fait non.

…ou pas ?

S’il est bien connu que Tor ne peut intrinsèquement pas protéger ses utilisateurs contre une communication dont au moins le premier et le dernier relais sont compromis, la fameuse « attaque » de Tor commence par « une fois le premier et le dernier relais compromis… »

Mais voyons en détail, et dans son ensemble, le raisonnement de Filiol.

La première partie de son attaque était de lister les Bridges Relays du réseau Tor, sensés être confidentiels. Ceci afin de soit les blacklister, soit les cibler pour les compromettre. (comment ? pourquoi ? l’histoire ne le dit pas.)

La seconde partie visait elle à rendre le réseau plus facile à compromettre, en réduisant le nombre de relais actifs en ligne, et réduisant donc également le nombre de relais à compromettre pour qu’un même attaquant contrôle la majorité du traffic.

La troisième et dernière partie est décrite comme suit :

  • Filiol affirme qu’il y a environ 50% de relais tournant sur des sytèmes Windows.
  • Filiol estime qu’environ 80% de ces 50% seraient donc vulnérables d’une façon ou d’une autre à un exploit permettant une prise de contrôle à distance de la machine. À savoir: une faille de sécurité importante dans Windows. (Notez qu’il ne précise pas laquelle, c’est ici pure conjecture.)
  • Filiol part du principe qu’il lui serait possible d’infecter ces 40% du réseau Tor (80% de 50% = 40%), et qu’en ciblant les relais tournant sous Linux/Mac osx/BSD/Solaris (sisi !)/autres, il parviendrait à que les 50% de relais tournant sous Windows deviennent 60, 70, 90 voir 100% des relais en ligne, augmentant donc le rendement de son attaque (80% de 100% = 80%, pour ceux qui n’ont rien suivi)
  • Une fois qu’il a en sa possession environ 80% des relais du réseau Tor, il y injecterais un virus de sa confection, chargé de modifier le logiciel Tor exécuté par les relais, pour, en simplifiant, désactiver le chiffrement des communications entre relais.

Il était une fois…

…dans une contrée très lointaine, un monde où les deux premières parties de l’attaque soient pratiquement utilisables, et utiles pour la suite de son attaque.
Un monde où toute théorie s’applique à la perfection, et où les approximations et postulats de Filiol sont parole d’Évangile.

Même dans ce monde, son attaque rencontrerait quelques problèmes majeurs.

Pour commencer, la sélection aléatoire des Relais lors de l’établissement d’un circuit par le client (cad. l’envoyeur) tient compte de leur capacité de bande passante. En clair, ça veut dire que plus un relais a de la bande passante, plus il sera sollicité.
Ceci ayant pour conséquence que, les relais ayant le plus de bande passante tournant sur Linux/BSD, quand Filiol soustrait 50% de relais Non-Windows, il retire environ 80 à 95% de la capacité de bande passante de tout le réseau Tor. (Il faut de sacrés moyens pour y arriver, mais on évolue ici dans un monde magique, donc chut.)

A ce moment précis de l’attaque, il reste environ 10-15% de capacité de bande passante, devant gérer l’exacte même demande en bande passante. (Filiol s’attaque aux relais, il n’a aucun moyen de réduire le nombre de gens à travers le monde ayant envie/besoin d’utiliser Tor). En clair, et même en rajoutant un grand nombre de serveurs à lui pour gérer du traffic, la quantité de données transitant par le réseau est telle qu’il se retrouverait avec environ 1 à 3% de relais actifs par intermitence de quelques secondes à quelques minutes.

S’il n’y a pas de réseau Tor utilisable, il n’y a pas de réseau Tor à compromettre. Encore moins quand les machines piégées destinées à le compromettre sont victimes d’un DDoS au centre duquel elles se sont elles-même placées. (Bien joué, Mr. le Directeur de centre de recherche de l’ESIEA ! J’ai hâte de jouer aux échecs avec vous :))

De plus, même dans ce monde imaginaire, il ne semble pas très sérieux de prétendre avoir une nouvelle « attaque » compromettant les communications Tor, quand celle-ci prend pour point de départ une situation déjà considérée comme un Échec et Mat par les développeurs de Tor eux-même, depuis environ… 2003 ?

Car il me semble utile d’insister que dans un scénario où un attaquant a déjà compromis au moins le premier et le dernier relais de la communication, j’ai déjà expliqué dans mes articles précédents qu’il n’y a pas besoin de déchiffrer les transmissions pour en découvrir le contenu et la provenance/destination.
Pourquoi dès lors prendre la peine d’interférer avec le logiciel Tor exécuté par ces relais, quand il suffit d’écouter ce qui se passe sur les interfaces réseau, et de regarder ce qui entre/sort du relais en temps réel ?

Pour affirmer que ce procédé soit nouveau, Filiol ne semble pas s’être attardé sur l’analyse du Threat Model de Tor lors de ses travaux de recherche.
Pour ceux qui ne sont pas familiers avec les méthodologies de recherche scientifique, disons que cette étape se trouve quelque part entre « lire la page Wikipedia de l’outil dont on va faire un travail de recherche » et « lire les précédents travaux académiques faits ces 10 dernières années sur le sujet pour être au courant de ce qui a déjà été dit et établi.»
Deux autres étapes sur lesquelles Filiol ne semble pas s’être attardé non plus.

Voici trois ressources qui, si elles avaient été consultées avec attention, auraient évité beaucoup d’erreurs de jugements et d’approximation dans les affirmations de Filiol :

Pour la petite histoire, le dernier lien aurait permis à Filiol de ne pas prétendre avoir listé « tous » les 128 Bridge Relays du réseau tor, quand les statistiques publiques en comptent 600.

Reality Check.

Retour au monde réel que nous connaissons et qui régit, rappelons le, le réseau que l’« attaque » de Filiol tente de compromettre.

Comme précisé dans mon article précédent, tenter de mettre hors ligne des pans entiers du réseau Tor n’est pas quelque chose qui passerait inaperçu. Je n’imagine pas que les quelques personnes gérant les « Directory Autorities » de Tor (les annuaires, si vous voulez) restent les bras croisés pendant le processus, alors qu’ils regardent chaque jour le nombre et la nature des nouveaux noeuds mis en ligne sur le réseau Tor.

De plus, les chiffres et proportions données par Filiol sont au mieux idéalistes, et je m’étonne qu’il affirme publiquement qu’une des étapes vitales et capitales de son attaque soit, simplement « posséder un exploit pour une faille de sécurité affectant 80% des Windows dans le monde en ne nécessitant que l’adresse IP de la cible pour s’y introduire. ».
Rien que ça ?
Si je ne remet pas en cause la réputation d’insécurité de ce système, je me contenterai de faire remarquer que ce n’est pas exactement le genre d’exploit qui pousse sur les arbres, et quand bien même un jour un tel exploit soit découvert, la sécurité du réseau Tor sera la moindre de nos préoccupations.

Enfin, et même si Filiol semble prêcher la « sécurité par la transparence » — en évoquant les Bridge Relays dont la nature implique qu’ils n’ont aucun intérêt s’ils sont publiques — il s’est systématiquement refusé à révéler le code source ou même le moindre exemple d’implémentation de son fameux virus destiné à « désactiver le chiffrement des relais Tor » (je simplifie)

Petite remarque : Ce que j’évoque ici est l’éternel débat, pourtant obsolète, de ce qu’on appelle la « Security through obscurity. », c’est à dire la sécurité par l’obscurité.
Il s’agissait d’un dogme prévalant jusque dans les années 70-80, où on supposait que la meilleure façon de s’assurer qu’on avait un moyen de chiffrement/sécurité inviolable était de s’assurer que personne ne sache comment il fonctionne.

Plus tard, quand les informations sont devenues plus faciles à échanger, et que la société a réduit les distances informationnelles, les agences gouvernementales et services secrets se sont vite aperçus qu’il était illusoire de garder secret la mécanique d’un procédé de chiffrement/sécurité très longtemps.
Utiliser des systèmes dont le secret est le fonctionnement est donc une pratique qui a progressivement disparu.

A la place, on a choisi des systèmes dont le fonctionnement est public et visible par tous, mais dont le secret soit une clé de chiffrement (ou un équivalent), différente pour chaque utilisation. Ainsi, on réduit l’information critique à une simple clé plus facile à garder secrète et à remplacer en cas d’accident, et on a plus de confiance en son procédé de sécurité car si le monde entier peut le voir, et qu’aucun chercheur, expert ou hobbyiste ne parvient à le mettre à mal, ça semble indiquer que les services secrets d’en face n’en sont probablement pas capable non plus. Et si un jour quelqu’un devait trouver un moyen de casser le chiffrement, ils seraient rapidement au courant, et pourraient s’adapter.

Vous comprendrez donc mieux pourquoi, dans le monde de la sécurité, le terme Security Through Obscurity est une sorte d’insulte désignant un système dont la philosophie est issue du siècle dernier, et qui n’a plus beaucoup sa place de nos jours.

Que Filiol prétende que garder les Bridge Relays secret corresponde à de la Security Through Obscurity reviens à peu près à dire que PGP/GPG est un système opaque, parce que la clé de chiffrement qu’on utilise pour signer/chiffrer des données n’est pas une donnée publique. Alors que, tant pour PGP/GPG que pour Tor, tout le modus operandi est publique et lisible par tous, seules les données confidentielles générées par son utilisation le sont, de la même façon qu’il ne doit pas exister un moule de la clé de votre porte d’entrée sur la place publique.
Que Filiol critique Tor pour son « opacité », alors qu’il refuse de publier le code source, ni même la moindre preuve de l’existance de son « virus », semble… pour le moins ironique 🙂

Ce fameux logiciel n’a peut-être jamais fonctionné ni même existé, mais heureusement pour Filiol, cette étape est absolument futile étant donné — je le répète — que n’importe qui ayant lu mon article, ou la page wikipedia de Tor aura compris qu’en possédant au moins le premier et le dernier relais d’un circuit Tor, il n’est pas nécessaire de le déchiffrer pour en dévoiler le contenu.

Malheureusement pour Filiol, c’était la seule et unique partie de l’attaque dont il est l’auteur.

Mais au final, c’est tout de même une attaque qui pourrait, dans certains cas théoriques, être efficace, donc pertinente, n’est ce pas ?

Absolument, si demain quelqu’un rédige une recherche scientifique dans le domaine médical, et prétend avoir découvert un tout nouveau moyen révolutionnaire de tuer quelqu’un : « lui planter un tournevis dans la gorge ! », et qu’on ignore le fait que depuis au moins 3500 ans l’homme a appréhendé le fait que « truc pointu dans la gorge = mort », alors oui, le travail de Filiol peut être considéré comme « original » et « non-trivial ».

Pour le reste d’entre nous, de la communauté scientifique, et d’experts en sécurité informatique, ça fait bientot 10 ans qu’il est communément accepté que « premier et dernier relais compromis = anonymat compromis ».
Que ça soit en écoutant les interfaces réseau, en altérant le fonctionnement du binaire chargé en RAM, en branchant le cache du CPU à un fax ou en apprenant à un singe à crier à voix haute ce qui passe par de la fibre optique connectée à son nerf optique, ce n’est plus que de la sémantique autour du fait que ce cas de figure a déjà été décrit et documenté en 2003 quand le projet est devenu public pour la première fois.

Courte analyse d’un fiasco académico-médiatique

Que s’est-il passé ? Comment en est-on arrivé là ?

De mon point de vue, l’explication la plus simple, et probablement pas la plus flatteuse, serait que Filiol avait pour responsabilité de diriger un travail de fin d’étude assigné à quelques uns de ses étudiants.
Filiol leur aura donné comme sujet « mettre à mal l’anonymat de Tor », comme beaucoup de chercheurs outre-atlantique le font eux aussi. Car je le rappelle, c’est un aspect important d’un procédé de sécurité que d’être en permanence scruté par des chercheurs, mathématiciens ou informaticiens, afin d’être certain que personne n’a encore trouvé une faille remettant la technologie en question.

Toujours selon moi, ces étudiants guidés par Filiol auront modestement mis au point une méthode imparfaite pour lister une partie des Bridge Relays, et probablement pensé ou mis au point une méthode pour exploiter différemment le cas de figure où on a déjà pris le contrôle des relais importants d’une communication Tor.

En soi, ce n’est pas un mauvais travail de fin d’études, c’est même certainement intéressant à traiter, et ça a certainement appris beaucoup de choses à ces jeunes étudiants sur ce qu’est Tor, et comment rédiger un travail académique.

Là où les choses ont mal tourné, c’est tout d’abord que Filiol ne semble pas avoir corrigé ses étudiants quant à la validité du référencement des Bridge Relays, n’ayant vraissemblablement pas lu la documentation fournie par les développeurs de Tor, qui détaille la stratégie de distribution de relais. D’où la détection de 128 Bridges alors qu’il est publiquement anoncé qu’il y en a entre 500 et 600 actifs en permanence.

Ce sont des choses qui arrivent, surtout quand un directeur de recherche se contente de pointer du doigt et de lire en diagonale le travail de ses chercheurs/étudiants, sans se documenter sur la nature du sujet, ni accompagner attentivement ce processus.

Ce qui n’est pas admissible, cependant, c’est que Filiol s’approprie l’entièreté du travail, ne citant ses étudiants qu’épisodiquement, parlant à leur place, et décide de porter tout cela aux médias comme s’il s’agissait du nouveau bug de l’an 2000, ou plus récemment de la faille SSL de debian.
Tout dans ce travail crie « travail formateur de fin d’études fait par de jeunes étudiants », aucune part de ce travail n’est originale, spécialement pertinente, ni méritoire de la moindre attention médiatique. Ce n’est pas son objectif. Son objectif est de servir à des étudiants à s’introduire au monde académique de la recherche, en s’attaquant à un morceau de viande pas trop difficile à mâcher, sans être complètement trivial non plus.

Tous les travaux de recherche ne sont pas bons à présenter au Brésil, au Japon, et encore moins en Allemagne au CCC, peu importent les pressions d’investisseurs, peu importe le contexte malsain du monde de la recherche en France, peu importent les tensions dont Filiol a pu faire l’object pour « sortir un papier médiatisable pour générer un peu de prestige, de visibilité dans les médias, d’argent ».
Filiol aurait du garder la tête froide, et reconnaître que ce n’est pas avec ce travail académique là qu’il relancera sa carrière, redorera la moindre réputation du moindre établissement, ni rendra le moindre service à ses étudiants dont il va présenter sur trois continents différents les fautes qu’il n’a pas su corriger.

Je n’ai rien contre le personnage de Filiol, et plusieurs de mes amis m’ont répété qu’il avait fait d’autres choses intelligentes à coté, qu’il n’était ni complètement stupide, ni complètement incompétent.
Cependant, dans ma vision du monde, le meilleur moyen d’avoir un écosystème scientifique, intellectuel et académique sain, c’est de gifler les gens compétents avec les inepties qu’ils produisent, jusqu’à ce qu’ils les corrigent ou les retirent.

Ainsi, on augmente la proportion de signal/bruit, et on pousse des individus brillants dans leur domaine à donner le meilleur d’eux-même, ou de s’améliorer.

To be continued ?

  8 Responses to “Did filiol break tor ? (3/3)”

  1. Ceux ayant suivi mes publications au fur et à mesure auront sans doute remarqué un délais démesuré entre la seconde et la troisième partie de cet article.

    Tout d’abord, au vu des reprises dans les médias, et même la presse spécialisée, qui soutenait les propos de Filiol sans les avoir vérifiés, ni avoir attendu qu’il ne présente le moindre résultat, j’ai voulu moi aussi publier au moins les deux premières parties de mon analyse avant que Filiol ne présente le moindre détail concret de son étude.
    Je voulais ainsi prouver à la presse spécialisée qu’il était possible de faire preuve d’esprit critique, de réserve, et de travail d’investigation, avant qu’il n’ait révélé les détails de ses affirmations, coupant ainsi l’herbe sous le pied des mauvais journalistes et rédacteurs qui affirmeront qu’il leur était impossible de savoir que tout cela ne tenait pas la route avant d’en savoir plus.

    Je pense avoir démontré le contraire.

    Ensuite la dernière partie de l’attaque de Filiol, décrite dans cet article, était tellement floue, imprécisément décrite et ayant tellement de versions complètement variables selon les sources qu’il m’était impossible de tirer la moindre conclusion avant d’avoir plus de détails présentés publiquement par Filiol. Telles quelles, ses affirmations allaient du « farfelu » au « absolument ridicule », probablement à cause des déformations médiatiques.
    Ce n’est qu’après la conférence en Allemagne au CCC qu’il m’a été possible d’être certain de moi dans ma conclusion qu’elle était au final plus triviale qu’autre chose, et plutot inoffensive.

    Entre-temps, beaucoup de projets personnels et de priorités ont pris le pas sur ma rédaction.

    Ces explications mises à part, je compte rédiger un bref billet supplémentaire où j’aborderai les critiques faites par Filiol à l’approche que Tor a pris dans son implémentation de l’anonymat, quelques remarques sur ces sujets, des visions plus personnelles et autres addendum que je ne juge pas pertinents d’accoler à un article que je veux le plus objectif et exact possible.

    Certainement sévère, ferme, voir peu flatteur, mais je l’espère, objectif et exact.

  2. Bravo, analyse précise et incisive !
    Donc en fait, le malware ne sert à rien ! T’es bien sûr qu’on ne peut pas lui trouver une utilité relative pour l’attaque à ce malware, aussi petite soit-elle, pour sauver l’honneur^^
    Alors là je me marre.
    Pourquoi personne n’a relayé cette info, il serait temps… cela aurait était plus simple de commencer par là
    MDR. Espérons que les journaleux auront plus leur langue dans leur poche à l’avenir et que les organisateurs des conférences feront davantage revoir les papiers par les pairs.

  3. Oh les commentaires sont désactivés, ça aurait pu être rigolo, lol le malware qui ne sert à rien !

  4. Ah non je n’ai rien dit les commentaires remarchent !
    Peut-être que le malware a une utilité pour être un peu plus furtif, dans le sens où il n’a besoin que d’infecter la machine sans avoir à se reconnecter sur la machine par la suite. Je ne suis pas expert mais c’est peut-être plus efficace pour ne pas être détecté par les antivirus. Car s’il veut écouter les interfaces réseaux, il doit se reconnecter sur la machine, grâce à une backdoor et transmettre tout le traffic réseau qu’il veut espionner…
    Alors qu’en ayant préalablement affaibli la crypto, il peut écouter le traffic à n’importe quel endroit du réseau sur la route d’un des 3 relais sans avoir à se reconnecter sur l’un des 3 relais, tout en pouvant casser le chiffrement.
    C’est ce qu’il semble vouloir expliquer dans la vidéo: http://www.youtube.com/watch?v=b03sC-L4D2M
    à 1:01:24, quand il dit « you can fix the key… » mais que c’est moins furtif, enfin il aurait été bon de détailler plus cette partie alors…

  5. Cela dit je trouve qu’il a très mal répondu à la question sur la congestion vers 0:54:56, genre il va déployer le malware pour de vrai, on sait très bien qu’il peut pas le faire de légalement… Il aurait au moins pu se dépatouiller en disant qu’il pouvait essayer d’infecter les relais qui ont la plus grosse bande passante.

  6. Tor semble quand même reposer sur les « Directory Autorities ». Si j’étais un état qui veut mettre à mal Tor, j’enverrai mes services secret essayer de corrompre un de ces « Directory Autorities », il semble y avoir des hommes derrière et l’aspect humain est en général le point de faiblesse des systèmes…
    Une fois un des ces « Directory Autorities » sous contrôle il semble facile de renvoyer des utilisateurs choisi (au hasard des résistants) vers des noeuds corrompu.
    Peut-être qu’il y a un mécanisme de protection contre cette angle d’attaque, mais après avoir lu tes articles il semble que l’anonymat repose en grande partie sur la confiance qu’on accorde à ceux qui gère le réseau Tor.
    On peut dire la même chose de l’architecture des certificats puisqu’elle repose sur une autorité de certification central, la différence c’est qu’on a le choix. L’a-t-on également avec Tor ? Peut-on choisir à qu’elle « Directory Autorities » on veut être attaché ?

  7. @Seb :

    L’approche du malware a quelques avantages mais n’est pas nouvelle encore une fois. Ecouter les interfaces réseaux d’un relais corrompu passera souvent pas l’utilisation d’un malware ou cheval de troie d’une sorte.

    Une fois le threat model de Tor dépassé, on peut corrompre la communication d’une 10aine de façons différentes…

    @Orunitia :
    Les DA dont gérées par 7 personnes différentes, chacune de confiance, et chacune hébergeant personnellement les machines en lieu sûr.
    Biensur on dépends de la confiance qu’on peut avoir en ces quelques personnes, mais lap lupart sont soit dev de tor, soit sympatisants, et ils ont tous accepté cette responsabilité en en calculant les risques et implications, prennant cette responsabilité au sérieux.

    Biensur qu’un point central est toujours un désavantage dans une architecture, mais c’est ici nécessaire pour être certain qu’il n’y a pas de désinformation quant à l’état du réseau, et être certain que tout le monde choisit ses routes depuis le même réseau, et pas des réseaux différents.

    Je n’ai pas encore lu tous les détails des spécifications de Tor, mais si je me rappelle bien, 4 des 7 DA doivent tomber d’accord pour publier un « rapport » de l’état du réseau Tor, périodiquement, donc il faut en compromettre une majorité pour arriver à avoir la moindre influence, et encore une fois, ce genre d’attaque se voit très rapidement et se corrige tout aussi vite.

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>