Vingt ans après l’introduction de son schéma de chiffrement tor1, le réseau Tor adopte une nouvelle approche pour renforcer la sécurité de ses circuits. Cette évolution, baptisée Counter Galois Onion, modernise en profondeur la protection du trafic sans changer la manière dont vous utilisez Tor au quotidien.
Le projet Tor engage une évolution majeure de son architecture cryptographique. L’équipe annonce l’abandon progressif de tor1, l’algorithme de chiffrement utilisé depuis le lancement du réseau il y a plus de vingt ans, au profit d’une nouvelle conception baptisée Counter Galois Onion, ou CGO. Cette transition marque l’une des plus importantes avancées techniques du réseau depuis l’introduction du routage en oignon, avec des conséquences directes sur la sécurité et l’intégrité du trafic circulant dans les circuits Tor.
Un système de double-chiffrement qu’il était temps de moderniser
Pour comprendre de quoi il retourne, il faut savoir que Tor repose sur deux niveaux de chiffrement. Le premier, standardisé, sécurise la communication entre les relais grâce à TLS. Le deuxième, beaucoup moins visible et propre au fonctionnement du réseau, correspond au chiffrement de relais.
Pour rappel, Tor découpe le trafic en petits blocs de données de taille fixe, des cellules, puis les enveloppe dans plusieurs couches successives de chiffrement, une par relais du circuit. C’est le principe même du chiffrement en oignon, qui empêche un nœud isolé de connaître la source, la destination et le contenu du trafic, et garantit que chaque nœud ne voit que la partie du circuit qui le concerne.
Ce second système, appelé tor1 en interne, date du début des années 2000, période durant laquelle les primitives cryptographiques modernes (authentification forte, chiffrements par bloc de données complet plutôt que par segment de quelques octets, modes de fonctionnement plus avancés d’AES) étaient encore balbutiantes ou difficiles à exploiter dans un contexte réseau. Et s’il a efficacement soutenu l’infrastructure pendant deux décennies, il présente aujourd’hui une faiblesse majeure liée à la malléabilité du chiffrement utilisé.
Car tor1 s’appuie sur AES-CTR, un mode de chiffrement qui ne vérifie pas si le contenu chiffré a été manipulé entre deux relais. En l’absence de contrôle d’intégrité, qui aurait normalement conduit un schéma moderne à rejeter le bloc corrompu, une portion du texte chiffré peut être altérée sans empêcher son déchiffrement. La modification réapparaît ensuite dans le bloc une fois déchiffré, ce qui permet à un attaquant contrôlant deux nœuds du réseau Tor de vérifier si ces relais appartiennent au même circuit et de tracer le trafic de manière fiable et rapide. C’est ce qu’on appelle une tagging attack, qu’on pourrait éventuellement traduire par attaque par marquage, la combinaison entrée + sortie étant naturellement la plus dangereuse, puisqu’elle permettrait d’identifier simultanément la source et la destination du trafic.
En parallèle, les équipes de Tor expliquent avoir identifié d’autres limites dans l’architecture actuelle, moins graves mais structurelles, à savoir la réutilisation d’une même clé tant que le circuit reste actif, et l’utilisation d’une empreinte cryptographique trop courte pour garantir une détection réellement fiable en cas de falsification. Bref, il était grand temps de revoir la sécurité du réseau.
Counter Galois Onion : une approche fondée sur la recherche académique
C’est donc précisément pour répondre à ces limites que Tor a introduit Counter Galois Onion, ou CGO, une nouvelle architecture cryptographique conçue pour remplacer tor1 sans bouleverser le fonctionnement du réseau. L’idée n’est pas seulement d’ajouter une couche de sécurité supplémentaire, mais de revoir la manière dont chaque bloc de données, les fameuses cellules, est chiffré et authentifié.
Désormais, la cellule n’est plus traitée par segments indépendants comme dans tor1, mais est considérée comme un bloc unique, chiffré d’un seul tenant, ce qui change tout. En cas d’altération, impossible de déchiffrer la cellule compromise, ainsi que toutes celles qui suivent. Le circuit s’effondre d’un coup, bloquant de facto toute tentative de marquage ou de manipulation progressive du trafic.
Dans le même esprit, CGO abandonne l’empreinte cryptographique minuscule utilisée par tor1 (un extrait de SHA-1 réduit à 4 octets, facile à falsifier). Le nouveau schéma s’appuie sur une authentification nettement plus solide (un authentificateur de 16 octets intégré au chiffrement lui-même), capable de détecter instantanément toute tentative de falsification, notamment lorsque la modification est trop subtile pour être détectée par le traitement du bloc chiffré.
CGO introduit aussi un renouvellement continu des clés. À chaque cellule envoyée, le système génère une clé toute fraîche à partir de la précédente (Kₙ devient Kₙ₊₁, puis Kₙ₊₂, et ainsi de suite), avant d’effacer l’ancienne. Ce mouvement permanent empêche toute lecture rétroactive du trafic, puisque même si une clé venait à être exposée, elle ne donnerait accès ni aux cellules antérieures ni à la structure complète du circuit.
Derrière CGO, on retrouve un travail mené par des cryptographes universitaires spécialisés dans l’analyse formelle des algorithmes modernes, dont les résultats ont été publiés dans un article académique signé par Jean-Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Tor s’appuie sur ces travaux pour adapter ce schéma au format particulier des cellules, tout en veillant à ne pas faire exploser la charge CPU des relais. La transition est déjà en cours, CGO ayant été intégré dans Arti, l’implémentation Rust du client Tor, et dans la base C utilisée par les relais.
Enfin, si vous êtes vous-même utilisateur ou utilisatrice de Tor Browser, vous n’avez rien à faire. Le déploiement sera automatique lorsque CGO aura atteint un niveau de maturité suffisant, sans qu’aucun calendrier précis n’ait pour l’heure été annoncé.
Source : The Tor Project
