Appliances de sécurité : pas de blocage de Tor Browser, sans certificat de déchiffrement

Les RSSI, les techniciens et autres administrateurs système et réseau qui pensent bloquer Tor Browser par la mise en place d’une appliance  de sécurité (1) – sans certificat de déchiffrement (2) – se fourrent le doigt dans le nez jusqu’au coude. Si vous pensez, Messieurs, que vous disposez de la solution ultime en matière de sécurité informatique, je ne saurais trop vous recommander de changer de boulot et d’aller éventuellement garder les moutons sur le plateau du Larzac. Il n’y a pas de sots métiers.

Je me souviens encore de cette formation donnée il y a quelques années à La Poste, où le responsable de la sécurité informatique m’avait assuré que je ne pourrais pas passer les protections et que je serais empêché d’aller consulter les sites interdits. cinq minutes après, j’étais en train de consulter un de ses sites. La croyance absolue de cet homme dans la technè me semblait proche de la folie ordinaire.

Tor Browser pour tester vos appliances de sécurité

Pour tester la solidité de votre appliance, téléchargez Tor Browser. En analysant les en-têtes des requêtes effectuées par Firefox d’un côté et Tor Browser de l’autre, vous vous rendrez compte de ces quelques subtiles différences.

Tor

Firefox

User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Accept-Language: en-US,en;q=0.5
Accept-Language: fr,fr-FR;q=0.5

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept-Language: fr,fr-FR;q=0.8,en;q=0.5,en-US;q=0.3
DNT: 1

Si, par malchance, vous tombez sur un bon technicien ayant pris le temps d’analyser les entêtes, il vous suffira alors d’installer sur Tor Browser l’extension Modify Header Value et de modifier les entêtes envoyés par Tor Browser en leur substituant ceux d’une version « normale » de Firefox ! Résultat garanti.

Vos appliances de sécurité en incapacité de bloquer Tor Browser

(1) Fortinet, Check Point, SonicWALL, Stormshield, Barracuda, Cisco, Forcepoint, Palo Alto, Sophos, Versa, WatchGuard, etc

(2) Le déchiffrement du trafic exige que les salariés soient informés au préalable.

Sécurité  / Tor Browser