Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
29 juillet 2008 2 29 /07 /juillet /2008 00:27

Je m'intéresse au système TOR depuis quelques temps déjà.
Non seulement par curiosité, mais aussi pour les risques qu'il peut amener au sein d'un SI avec des données sensibles et/ou des systèmes de filtrage de navigation...

Ne recherchant pas l'état de l'art pour TOR, j'ai simplement récupéré Vidalia, une mini-suite logicielle incluant le nécessaire pour faire fonctionner un client/serveur TOR, avec web proxy local. Le tout dans une interface assez simple et francisée !

J'ai donc laissé tourner la bête de nuit, pour observer ses stats le lendemain (l'outil de génération de stats est fourni aussi avec Vidalia...).

Cependant, il m'a semblé entendre quelques bruits étranges durant la nuit. Et au petit matin, j'ai pu apercevoir des messages d'alerte de Kaspersky sur mon PC...
Mince alors ! on aurait tenté de m'infecter de nuit, en traître, et alors que je ne faisais rien de spécial sur le PC ?




En fait, après quelques vérifications, la réponse est non...
Je n'ai jamais visité les URL que KAV m'indique dans le rapport (cf. capture ci-dessus).

Explication ?
J'ai laissé tourner Vidalia, mais cette fois-ci en étant devant le PC.
Et par chance, j'ai pu voir une alerte en temps réel. L'information qui me manquait était fournie par KAV lorsqu'il hurle pour signaler un objet dangereux :
- > le nom du résident accédant au fichier infecté est : tor.exe !!

Ainsi, K.I.S 2009 est capable d'analyser le flux véhiculé au sein du réseau TOR et transitant par le "noeud" que mon PC constitue... (infos de version : Kaspersky Internet Security 2008, v8.0.0.357).

De là à dire que TOR sert à propager des codes viraux et/ou à dissimuler des transferts de codes viraux, il n'y a qu'un petit pas...


Devrait-on généraliser des scanners antivirus sur http pour assainir le réseau TOR ? la question peut se poser...


Dans tous les cas, je pense qu'il est déjà important d'avoir à l'esprit que le fait de participer au réseau TOR (dès qu'on a installé tor, devenant un "routeur" TOR), la machine peut faire transiter des codes viraux, de façon complètement transparente...

Moi qui croyais assez peu aux scanners AV analysant les flux type HTTP en local, je dois dire que K Labs a développé une technologie qui me semble pertinente, dans le contexte viral actuel. C'est d'ailleurs pour ça que j'ai K.I.S 2009 , "en test"...




Partager cet article

Repost0

commentaires