Le Tor Project a publié un peu plus tôt ce mois-ci les résultats d'un audit de sécurité indépendant portant sur Tor VPN pour Android et sa couche réseau Onionmasq. L'architecture centrale de l'application ne présente pas de faille fondamentale, mais plusieurs points techniques nécessitent encore des corrections avant un déploiement élargi.
En septembre 2025, nous rapportions le lancement en version bêta de Tor VPN pour Android, une application permettant d'acheminer le trafic d'applications sélectionnées via le réseau Tor décentralisé. Les conclusions de l'audit mené par le cabinet Cure53, publiées par le Tor Project, donnent maintenant une image précise du niveau de sécurité atteint par ce produit en développement.
La sécurité de TorVPN passée au crible
Le cabinet allemand Cure53, spécialisé en tests de sécurité, a conduit en juin 2025 un test de pénétration de type "crystal-box". Ce dernier combine des tentatives d'intrusion actives et un accès complet au code source. Cela permet de confirmer si les failles théoriques détectées à la lecture du code sont réellement exploitables. Ils ont également mené un audit approfondi du code source sur deux semaines.
L'évaluation portait sur deux périmètres : l'application Android elle-même et Onionmasq, la couche réseau développée en Rust. C'est elle qui gère l'acheminement du trafic, la résolution DNS et la connexion au réseau Tor via Arti, l'implémentation moderne du protocole Tor.
Au total, 18 problèmes ont été recensés, mais seulement 4 constituent des vulnérabilités pouvant potentiellement être exploitées. Les auditeurs confirment l'absence de faille dans la mise en place du tunnel Tor et dans le routage du trafic. En revanche, ils ont analysé une validation insuffisante des données entrantes ainsi que des faiblesses dans la gestion du DNS. Concrètement, l'implémentation DNS d'Onionmasq ne dispose ni de limitation de débit ni d'expiration du cache. Concrètement, un attaquant pourrait donc saturer le résolveur de requêtes jusqu'à épuiser la mémoire système, et provoquer ainsi une interruption de service. Des problèmes similaires ont été identifiés en analysant des paquets TCP, où des données malformées pourraient consommer des ressources de façon excessive ou déclencher des comportements indéfinis.
L'audit pointe d'autres lacunes, notamment au niveau des mesures de sécurité additionnelles. L'absence de certificate pinning pour la distribution des bridges Tor ouvre un risque d'attaque de type "man-in-the-middle". Sur un réseau frauduleux, un tiers pourrait s'intercaler entre l'application et le serveur distribuant ces bridges pour intercepter ou modifier les échanges. La sélection des bridges repose par ailleurs sur une randomisation jugée trop prévisible. L'application stocke certaines données de configuration en clair et ne détecte pas si l'appareil est rooté.
Au-delà d'Android, Cure53 a identifié un autre problème propre à l'écosystème Apple, avec une gestion mémoire non sécurisée pouvant permettre des lectures hors limites
Cure53 souligne que l'architecture modulaire de Tor VPN limite la propagation des compromissions potentielles : les faiblesses détectées dans la couche DNS n'affectent pas directement l'intégrité du tunnel de confidentialité. Le Tor Project indique que tous les problèmes identifiés font l'objet d'un suivi actif, l'audit servant à prioriser les corrections autour de la validation des données, de la gestion des ressources et de l'adoption de bibliothèques éprouvées pour les fonctions critiques.
- Masque adresse IP réelle
- Routage par application
- Construit sur Arti (Rust)
