Pourquoi le safeplug est une mauvaise idée

Mmmhh c'est quoi ?

Le produit est vendu comme "A revolutionary device to protect your family and your home.".

En gros, Safeplug utilise le réseau Tor pour "sécuriser" la connexion Internet de l'utilisateur. Donc dès que la personne va aller sur le site, la boite va rediriger le traffic web vers le réseau Tor. Il est surtout vendu comme une solution qui rend anonyme l'utilisateur.

Pourquoi ce n'est pas une idée

Closed source

Déjà a priori la machine est une boite noire (si vous trouvez le code source, ça m'intéresse). Vous ne savez absolument pas si les dévs qui ont fait ça, n'ont pas fait ça n'importe comment et que la moitié des paquets vont leaker.

Vous ne savez pas s'ils n'ont pas inclus une backdoor qui permettra au mieux de mettre à jour la machine, au pire de désactiver Tor sur demande d'une Agence.

Les personnes derrières ça

Les personnes derrière ce produit ne m'inspirent vraiment pas :

The good news is that the more people use Tor the faster the service runs, so by using Safeplug you are helping the Internet community protect itself from tracking and surveillance.

Suprise ! je t'ai mis un relais Tor sans te demander ton avis, heureux ? Y a juste à espérer qu'ils ne se plantent pas et qu'ils n'en fassent pas un exit node (pour l'acheteur, pour toutes les conséquences légales que ça peut avoir).

De plus, à la question "How can I ensure that my browsing is really anonymous?" ils répondent :

To ensure that your online activity cannot be tracked, we recommend that you clear your cookies between anonymous browsing sessions. Cookies could allow a site or organization to trace your Internet activity back to you. Additionally, we recommend disabling browser plugins like Flash Player and QuickTime. Using browser plugins with Safeplug could present a security risk to you while browsing.

Ce problème est clairement décrit dans la FAQ de Tor mais ne concerne pas les utilisateurs du safeplug puisque tout le traffic est sensé passer par Tor ce qui ne serait pas forcément le cas avec le Tor Browser Bundle. J'ai pas l'impression qu'ils comprennent ce qu'ils ont fait.

Les fuites applicatives

Et enfin, le pire.

Safeplug sets up in 60 seconds and allows you to use your existing web browser, and even your phone, to browse the Internet with complete anonymity and peace of mind.

your existing browser" et "complete anonymity" dans une même phrase devrait vous faire fuir. L'anonymat via Tor ne marche pas magiquement pouf tu l'utilises ça détruit le user agent, les plugins du navigateur, la résolution etc. Non, Tor ne cachera pas que vous l'utilisez et ce n'est pas son but. L'anonymat de Tor consiste à cacher tout le monde derrière la même chose, i.e. je sais que la personne qui vient de lire mon blog utilise Tor, mais je ne sais pas qui elle est parmi les 500 000 utilisateurs.

Or là, si tu surfes avec ton navigateur habituel, on peut aisément t'identifier. Pour prendre un cas un peu extrême, vous croyez qu'il y a combien de personne derrière l'user agent :

Mozilla/5.0 (X11; OpenBSD amd64; rv:25.0) Gecko/20100101 Firefox/25.0

Certes là je parle d'un user-agent, mais les navigateurs laissent filtrer tout un tas d'informations qui permettent, dans le pire des cas, à le rendre unique.

Arf, pourtant l'idée me plaisait bien

Il y a projet qui a le même concept et qui lui est open source : PORTAL, à utiliser uniquement en connaissance de cause.

tl;dr, si vous voulez mettre toutes les chances de votre côté au niveau anonymat, utilisez le Tor Browser Bundle ou Tails

By Vigdis in
Tags : #Tor, #opsec,
g+ linkedin email