Si j’ai bien compris la faille vient du fait que 41% des serveurs TOR sont sous windows. En tout 30% des serveurs seraient faillibles.
Oui et il faudrait que les noeuds du réseau soient sur des machines Linux 
Parce que tu crois sincèrement que tous ceux qui luttent contre l’anonymat et le respect de la vie privée en ligne (Iran, Chine et autres démocraties) ne s’y sont pas déjà intéressé, avec probablement les mêmes résultats ? La seule différence c’est que ces chercheurs, eux, ont publié leurs résultats.
Ils ont juste démontré qu’en réalité Tor n’est pas plus anonyme que ton FAI : « Les scientifiques français affirment avoir réussi “à briser à la fois l’anonymisation et le chiffrement, […] ce qui nous permet d’accéder à la totalité des informations claires”. »
Voire peut-être même encore moins en réalité, puisqu’il est apparemment facile d’insérer des nœuds espions.
Les problèmes de sécurité ne sont pas tous liés aux capacités réelles d’un système (ce qu’il fait ou pas), mais plutôt à la différence entre ce que l’utilisateur croit qu’il fait et ce que le système fait réellement. D’où le fait que je te transmette l’information à propos de Tor, histoire que tu sois au courant quand même…
C’est bien ça. En pratique, le résultat c’est qu’à cause de ces 30% de “brebis galeuses” le réseau Tor peut être facilement espionné, et ne peut donc plus être considéré comme anonyme.
@syam : merci pour ton passage d’infos et tes réponses détaillées.
On peut condiérer que le réseau TOR est corrompu de fait?
Je trouve ça dommage, j’étais suffisamment confiant pour être un noeud du réseau.
J’attends une réaction tout de même du projet TOR 
Si on se fie à cette publication, le réseau est corruptible donc ceux qui ont des vrais besoins d’anonymat doivent malheureusement considérer qu’il est corrompu, au risque dans le cas contraire de se faire pincer (ce qui veut souvent dire pour eux… couic 
).
Putaing, syam, tu va sacrément vite en besogne ! 
D’une part ce papier est extrêmement peu détaillé, ce qui est très dommageable quant à la confiance que l’on peu avoir en vers celui-ci. Il est aussi à noter que selon le même chercheur AES est cassé depuis 2003. C’est remis en cause par à peu près tout le monde (les chercheurs comme les agences gouvernementales). Il est réellement sacrément tôt pour parler.
D’autre part, comparer TOR a un FAI c’est aller très vite en besogne. Un FAI sait de base les connexion que tu as, pour TOR il faut lancer une attaque qui réussi sur quelques milliers de machines et même avec ça, l’attaquant n’a pas une vue globale du réseau. Donc c’est vraiment 2 choses totalement différentes.
Enfin, je trouve ça surprenant, mais la seule chose que l’équipe d’Éric Filiol a réussi à faire c’est à rendre le réseau inutilisable.
Il y a deux choses qui me semblent utiles de rappeler :
[ul]
[li]même avec un réseau extrêmement fiable et tout et tout, il est utile de faire du chiffrement de bout en bout, c’est à dire de chiffrer les données que l’on envoie au réseau et que le destinataire les déchiffre[/li]
[li]il existe toujours le réseau Freenet[/li][/ul]
[quote=“MisterFreez”]D’une part ce papier est extrêmement peu détaillé,
[…]
Enfin, je trouve ça surprenant, mais la seule chose que l’équipe d’Éric Filiol a réussi à faire c’est à rendre le réseau inutilisable.[/quote]
L’article de 01net (en lien dans celui de numérama) est plus clair quant à la méthodologie qui, faute de sources plus détaillées que ça, me semble tout à fait réalisable : infection des nœuds vulnérables, et reroutage du trafic vers ces nœuds compromis grâce à des congestions sur le reste du réseau non compromis.
Effectivement ça joue pas en faveur de sa crédibilité… 
(j’étais pas au courant de ça, j’avoue que j’ai pas fait de recherche biographique quand j’ai vu cette news 
)
La grosse différence entre un FAI et TOR c’est que le réseau TOR est public, lui.
Un FAI qui t’espionnerait, ça impliquerait au moins deux acteurs : le FAI lui-même, et l’État (c’est à peu près les seuls qui ont assez de poids pour demander ça à un FAI). Espionner TOR, ça n’impliquerait qu’un seul acteur : n’importe qui ayant les ressources suffisantes pour réussir l’attaque (et si elle s’avère fonctionnelle, c’est pas bien dur de trouver les ressources pour mettre à plat les 70% sains d’un réseau de 6000 machines, beaucoup moins dur en tous cas pour un attaquant extérieur que de contraindre l’État à contraindre ton FAI de t’espionner).
C’est dans ce sens que je disais que TOR est peut-être encore moins sécurisé que ton FAI (toujours à condition que l’attaque décrite fonctionne), du moins dans nos pays où les gouvernements ne sont pas encore tout à fait occupés à surveiller la population de manière systématique.
Il ne faut pas oublier non plus que la simple connaissance des participants à une discussion apporte des informations substantielles, sans avoir besoin de connaître le contenu de la discussion lui-même. La force de TOR c’est de découpler émetteur / destinataire ; si ça c’est cassé, peu importe que le contenu des discussions soit connu ou non, on se retrouve de toutes façons dans la même situation de “non-anonymat” qu’avec un FAI sauf qu’il y a beaucoup plus de monde qui peut avoir accès à ces infos avec TOR.
Oulala fait gaffe, le fait que quelque chose soit public ne le rend pas moins fiable.
Ça dépend pour qui. Pour l’état et les majors non. C’est actuellement eux qui sont la principal menace à l’anonymat sur internet.
Il faut savoir qu’un système comme TOR donc des machines qui sont censés collaborer. La gestion de fautes byzantines (des machines du groupe qui agissent contre le groupe) est encore un domaine de recherche où tout reste à faire.
Je continue a participer au projet TOR pour ma part 