Guide d'autodéfense numérique

On vient de voir que la conception de Tor ne permet pas de protéger contre un attaquant qui est capable de mesurer le trafic qui entre et qui sort du réseau Tor. Car si l'adversaire peut comparer les deux flux, il est possible de les corréler via des statistiques basiques.

Considérons maintenant un adversaire qui a des raisons de penser que c'est Alice qui publie sur tel blog anonyme. Pour confirmer son hypothèse, il pourra observer le débit du trafic qui sort de la connexion ADSL d'Alice et celui qui entre sur le serveur qui héberge le blog. S'il observe les mêmes motifs de données en comparant ces deux trafics, il pourra être conforté dans son hypothèse.

Tor protège Alice contre un attaquant qui cherche à déterminer qui publie sur le blog anonyme. Mais il ne protège pas contre un adversaire ayant davantage de moyens qui essaye de confirmer une hypothèse en surveillant aux bons endroits dans le réseau puis en faisant la corrélation.

Ce type d'attaque peut aussi s'effectuer avec des hypothèses plus larges. Considérons un adversaire qui a identifié un groupe de connexions ADSL qui l'intéressent, ainsi qu'un serveur utilisé à partir de ces connexions. S'il a accès au trafic du groupe de connexions en question, et à celui du serveur, par exemple grâce à une requête légale, l'adversaire peut alors, à partir de cette hypothèse et d'une attaque de type « motif temporel », trouver quelle est la connexion parmi le groupe suspect qui est à l'origine de telle connexion au serveur. Ainsi, un post sur un serveur de blog peut être corrélé à une connexion parmi un groupe de personnes soupçonnées de participer à ce blog anonyme.