La conférence Black Hat cassant la sécurité de Tor annulée

La conférence Black Hat cassant la sécurité de Tor annulée L'anonymisation garantie par Tor devait voler en éclat lors d'une conférence programmée à la Black Hat. Elle vient d'être subitement annulée. Mais Tor sera patché quand même.

La conférence qui devait expliquer comment identifier facilement les utilisateurs de Tor vient d'être annulée de la Black Hat, l'événement annuel majeur dédié à la sécurité qui se tiendra à Las Vegas début août. C'était pourtant l'une des conférences les plus attendues, car Tor est justement utilisé pour pouvoir rester anonyme et même échapper à la surveillance de la NSA. Des dissidents mais aussi des criminels peuvent s'en servir : le thème est donc des plus sensibles, et c'est d'ailleurs peut-être pour cela que la conférence a dû être annulée. Baptisée "Vous n'avez pas besoin d'être la NSA pour casser Tor : comment désanonymiser ses utilisateurs avec un petit budget", la conférence promettait d'obtenir les IP des utilisateurs de Tor contre la modique somme de 3000 dollars. Une exploit qui attire l'attention, quand on sait que la NSA a admis n'avoir jamais réussi à exploiter une vulnréabilité de Tor...

Selon Reuters, la conférence a été annulée à la demande du service juridique de l'Université Carnegie Mellon et du CERT où travaillent Alexander Volynkin et Michael McCord, les chercheurs qui devaient donner la conférence. Mais aucune raison claire n'a été officiellement donnée. La demande émane cependant d'une université connue pour gérer un CERT (Computer Emergency Response Team), notamment chargé d'aider le gouvernement américain à se protéger en matière de cybersécurité.

Mise à jour : Roger Dingledine, un des responsables et fondateurs de Tor, a fait savoir aux utilisateurs de Tor qu'il pensait avoir trouvé le problème qui allait être pointé du doigt, et la manière de le corriger. Il n'en est cependant pas certain, car il n'a pas eu tous les détails techniques, et n'a été averti que d'une manière informelle. Il attend encore actuellement une validation d'Alexander Volynkin et de Michael McCord, mais la faille trouvée est tout de même "une belle faille". "Mais ce n'est pas la fin du monde", a-t-il commenté, espérant pouvoir donner plus de précision très vite. Il a aussi assuré qu'il n'avait rien à voir dans l'annulation de la conférence, qui reste encore officiellement inexpliquée.

 Lire aussi sur le même sujet