‫الجـمهورية الجزائرية الديمقراطية الشعبية‬

République Algérienne démocratique et populaire

‫وزارة التعليم الــعــالي والبحــث العــلمــي‬

Ministère de l’enseignement supérieur et de la recherche scientifique
‫جــامعة سعد دحلب البليدة‬
Université SAAD DAHLAB de BLIDA

‫كلية التكنولوجيا‬
Faculté de Technologie
‫قسم اإللكترونيـك‬
Département d’Électronique

Mémoire de Master
Filière Électronique
Spécialité Réseaux et Télécommunications

Elaboration d’une solution de détection du réseau anonyme Orbot

Présenté par: Proposé par:
Dellal Marwa Mr. Mehdi Merouane
&
Amalou Warda

Promotion 2020
 PLAN DE TRAVAIL

Les attaques informatiques Extraction des empreintes

numériques

introduction

Conclusion

Détection de l’application
L’anonymat et vie privée
Orbot
 Notre Détection

Objectif
Détection de
l’utilisation de
l’application Orbot

Application
APK
Orbot sous Android

Wireshark
À partir de
l’analyse des
paquets sous
Wireshark

IDS (Snort)
En créant des règles
avec un IDS Snort
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
Introduction

Introduction
Face à l’évolution gigantesque des réseaux informatiques dans le domaine
professionnel ainsi que pour les individus, beaucoup de problèmes se posent devant
cette croissance. Pour cela on se trouve face au défi de se collaborer à la recherche
des solutions plus fiables pour se protéger contre ces problèmes qui sont devenus
diversifiés.

protection de la vie La mauvaise Technique de

privée des utilisation de detection la détection en
internautes (Orot cette application (relèvement des utilisant un IDS
APK) empreintes

1
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
Les attaques informatiques
Les attaques informatiques
Une attaque est l’exploitation d’une faille d’un système informatique (système d’exploitation, logiciel,
erreur de configuration, etc.) à des fins non connues par l’exploitant du système et généralement
préjudiciables.
Les motivations des attaques peuvent être de différentes sortes :

Glaner des Troubler le bon

informations fonctionnement
personnelles sur d’un service.
un utilisateur.

Récupérer des
données 2
bancaires.
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
Les attaques informatiques Déroulement d’une attaque

Nettoyage des traces

Extension de privilège

Lancement d’une attaque

Collecte
d’informations

3
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
Les attaques informatiques
Les types des attaques informatiques
1 3

Les attaques cryp- Les malwares

tographiques

2 4

Les attaques DOS-DDOS Les vulnérabilités Web

4
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
Les attaques informatiques

Mécanisme de sécurité

01
Un antivirus est un programme
capable de détecter la présence de
malware sur un ordinateur afin de
le désinfecter.

02
Le pare-feu est un gardien de
sécurité placé au point d'entrée
entre un réseau privé et Internet
extérieur de telle sorte que tous les
paquets entrants et sortants
doivent y passer.
Système de detection

03
Pour analyser le flux réseau, on utilise des d’intrusions IDS
systèmes de détection d’intrusion
•Les NIDS : Le NIDS tire son nom du fait
qu’il surveille l’ensemble du réseau. Plus Par-feu
précisément, il surveille un segment de
réseau entier
•Les HIDS : Les IDS systèmes (Host IDS)
analysent le fonctionnement et l’état des
Anti virus
machines sur lesquelles ils sont installés
afin de détecter les attaques.

5
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

L’anonymat et vie privée

6
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

Les outils de l’anonymat

Le réseau Tor est un réseau anonyme qui

permet de brouiller l'empreinte laissée sur
internet.

Le VPN est un service qui vous permet PROXY Les outils

d'accéder au Web de manière sécurisée et
privée.

Le proxy est un programme qui sert

d’intermédiaire entre un client et un serveur.

L’application Orbot permet de passer par le réseau

Tor sur un appareil Android

7
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

Dans notre projet, on s’intéresse plus à l’étude du réseau TOR et son application dédiée pour les Smartphone Orbot

Le fonctionnement du réseau TOR

Le réseau TOR permet de passer le trafic
de ses utilisateurs à travers trois «nœuds»

Le nœud
de sortie
L'expression « routage en oignon », qui
Le nœud
d’entrée donne son nom à Tor, désigne la
technique d'encryptage des données
Le client TOR Serveur de destination transitant sur le réseau à travers les
relais dont chacun ajoute une nouvelle
Le nœud couche d'encryptage au signal qu'il fait
intermédiaire
transiter

8
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

Le projet Tor pour Android “Orbot”

9
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

Evolution de l’utilisation de SmartPhone

Trafic combiné dans le monde
53%
Trafic Web des mobiles

50% 52%
43%
35%
27%
16%

2013 2014 2015 2016 2017 2018 2019

Les internautes choisissent d’utiliser les Smartphones grâce à la mobilité, le confort d’utilisation qu’ils
offrent. Donc ils ont besoin d’une alternative du navigateur Tor pour leur mobile 10
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée
La mauvaise utilisation de l’application
Orbot

L’application Orbot achemine tout

L’accés au
le trafic web à travers le réseau Tor, en L’accèsWeb»
«Dark au
«Dark Web»
l'anonymisant. Tor se compose d'un
proxy à trois couches, comme les
couches d'un oignon.

11
 Les attaques informatiques L’anonymat et vie privée Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction l’application Orbot
numériques
L’anonymat et vie privée

50%
COMPLETED

1 2 3 4 5 5

Les attaques L’anonymat et vie Extraction des Détection de

Introduction Conclusion
informatiques privée empreintes l’utilisation de
numériques l’application Orbot

La problématique
La couche supplémentaire de sécurité que Tor et son application Orbot offrent
pour les utilisateurs encourage les attaquants informatiques à l’utiliser pour
dissimuler leurs activités illégales (attaques informatiques). Ce qui rend la mise
en œuvre d’une technique de détection de l’utilisation de ce réseau primordiale.
12
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

Détection des empreintes numériques

La détection de Orbot et Tor Browser dans un réseau local est compliquée car elle nécessite des
mécanismes de sécurité très utiles qui visent à combattre tout type d’intrusions.

L’architecture réalisée «client/serveur»

PC SERVEUR PC CLIENT

On a utilisé un PC serveur avec un système d’exploitation « Centos 8 »

On a utilisé l’émulateur « Bluestacks» afin de retrouver l’environnement Android sur PC 13
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

La méthodologie suivie consiste à

la captures des paquets avec l’outil de capture et d’analyse « Wireshark»

l’analyse en détail de tout le trafic « Paquets » venant des applications Orbot et Tor
le relèvement des empreintes numériques en faisant la comparaison entre le trafic des navigateurs Web
(Chrome et Firefox) et le trafic de Orbot
L’implémentation des signatures dans le système de détection d’intrusions « Snort » afin de détecter
l’utilisation de l’application « Orbot » et son navigateur dédié pour les Smartphones.

14
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

L’outil d’analyse et de capture « Wireshark »

Wireshark est l’analyseur de protocole réseau le plus utilisé au monde. Il vous permet de voir ce qui
se passe sur votre réseau à un niveau microscopique.

15
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes

Capture et analyse du trafic réseau

numériques
Remarque
Il n’y a pas des différences entre les
paquets TCP des navigateurs et les
paquets TCP de (Orbot et Tor) qui
Notre travail se décompose en trois parties : nous permettent d’avoir des
empreintes fiables qui vont être à la
suite des signatures lors de la
Etude des étapes de la connexion TCP (SYN, SYN détection. Pour cela on doit passer
ACK, ACK) directement à la troisième
partie :analyse et comparaison des
paquets TLS.
Analyse et comparaison de TCP « Three Way
Handshake ».

Analyse et comparaison des paquets TLS.

16
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques
Analyse et comparaison des paquets TLS
Le déroulement de la connexion TLS « protocole d’établissement de connexion SSL « SSL
Handshake »

Client hello

Serveur hello

Certificate

17
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

Comparaison entre l’analyse de (l’application Orbot, le navigateur

Tor) et les navigateurs et l’extraction des signatures
Dans cette partie, nous allons analyser les paquets échangés lors de l’établissement
d’une session sécurisée « SSL Handshake », des connexions établies entre :

L’application Orbot et le premier nœud de garde : [Link].

L’application Orbot et le deuxième nœud de garde : [Link].
L’application Orbot et le troisième nœud de garde : [Link].

Le navigateur Google chrome et le site : [Link].

Le navigateur Firefox et le site : [Link].

Le navigateur Tor (APK) et le nœud de garde : [Link].

Le navigateur Tor (APK) et le nœud de garde : [Link].

Dans notre recherche, on va se focaliser seulement à l’analyse des paquets « client Hello », « server Hello » et
« Certificate».
18
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
 Client hello numériques
On faisant la comparaison entre le paquet client hello des navigateurs et le paquet client hello de
l’application Orbot et le navigateur Tor on a trouvé plusieurs différences (signatures) énumérées
comme suit :
Les suites de chiffrement «cipher suites»

19
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques
Les algorithmes de signature «Signature algorithms»

20
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques
Les groupes supportés « Supported groups »

21
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
4 L’extension « Encrypt_then_mac » numériques

22
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

5 Les port de destination« destination ports»

La cinquième empreinte identifie les ports utilisés par les nœuds du réseau Tor.

01 02 03
Le port Le port Le port
9001 59999 443

On ne peut pas prendre le port 443 comme empreinte car il est utilisé par
d’autres serveurs (port HTTPS). 23
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
 Serveur hello numériques
On faisant la comparaison entre le paquet sevrer hello des navigateurs et le paquet server hello de
l’application Orbot et le navigateur Tor on a trouvé plusieurs différences énumérées comme suit :
6 Les suites de chiffrement « cipher suites »

24
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques
6 Les suites de chiffrement « cipher suites »
2

25
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Extraction des empreintes
numériques

différences qui
peuvent distinguer
l’utilisation de L’implémentation
Orbot et Tor dans un IDS
extraction des
La comparison
entre les paquets 2 empreintes
numériques
4

1 3
Remarque
Les empreintes extraites sont
identiques pour l’application Orbot et le
navigateur Tor 26
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
Détection de l'application Orbot l’application Orbot

Le système de détection d’intrusion Snort IDS : Faux positifs et

Snort est un IDS en réseau (NIDS) faux négatifs
qui utilise la détection de signature
Enfin, la détection
d'intrusion est plus
Snort utilise les empreintes afin de fiable avec moins
créer des règles pour détecter des de faux positifs.
trafics réseau spécifiques (trafic
malveillant « Orbot, Tor, attaques
»). La création de règles Snort
dépend du fonctionnement et
paramétrage de Snort

27
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
Création des règles Snort l’application Orbot

On cite ci-dessous quelques règles utilisées pour la détection de l’application Orbot et le navigateur Tor

alert tcp any -> any (msg:"possibilité d'utilisation de l'application

 Client hello Règle Orbot: client hello cipher suites"; content:"|13 02 13 03 13 01 c0
2b c0 2f cc a9 cc a8 c0 2c c0 30 c0 0a c0 09 c0 13 c0 14 00 33 00
01 39 00 2f 00 35 00 ff|"; offset:20; sid:2000101 ; rev:1;)

Règle alert tcp any any -> any [9001,59999]

d'utilisation de l'application Orbot : client
(msg :"possibilité
hello port de
02 destination « ; sid : 2000102 ; rev : 1 ;)

alert tcp any any -> any any (msg:"possibilité d'utilisation de

Règle l'application Orbot: client hello extension supported groups";
03 content:"|00 0a 00 06 00 04 00 17 00 15|"; offset:20;
sid:2000104; rev:1;)

Règle alert tcp any any -> any [9001] (msg:"possibilité d'utilisation de
l'application Orbot:server hello cipher suite2 "; content:"|c0
 Server hello
04 30|"; offset:20; sid:2000106; rev:1;) 28
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
Test de fiabilité de nos règles l’application Orbot

29
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
les adresses source et destination du trafic capté l’application Orbot

NOTE: On peut vérifier l’appartenance de ces adresses au réseau Tor sur le site Tor
metrics : [Link] . 30
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de

Liste des alertes lancées par Snort l’application Orbot

31
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
l’application Orbot

Les alertes lancées par la règle suite de chiffrement « cipher suite

»

32
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
l’application Orbot
Les alertes lancées par la règle ports de destination « destination ports »

33
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot

Constations
Détection de l’utilisation de
l’application Orbot

On a détecté l’utilisation de Toutes les règles Le nombre d’alertes Les autres règles
Orbot et du navigateur Tor implémentées dans Snort ont générées par la règle du génèrent des alertes
en utilisant les mêmes impliqué des alertes, ces port de destination est lors de l’établissement
règles parce que ces règles sont fiables et très élevé puisque de la connexion SSL
dernières passent par le n’engendrent pas de fausses chaque requête ou « SSL Handshake »
même réseau (le réseau alertes. tentative de connexion
Tor). au réseau Tor passe par
ces ports.

34
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Détection de l’utilisation de
l’application Orbot

04
On a pu détecter
03 l’utilisation de
cette application
On a détecté
l’utilisation de un avec un taux
ce réseau dans élevé,
un réseau
d’entreprise.

Nous avons 02
exploité toute
l’étude faite dans
les chapitres On a utilisé les

01
précédents afin de empreintes
connaitre le extraites pour
fonctionnement du créer des
réseau Tor. règles, les
implémenter 35
dans l’IDS Snort
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée

Succès
numériques l’application Orbot
Détection de l’utilisation de
l’application Orbot

L’utilisation de l’application Orbot est détectable en utilisant

les règles crées dans ce projet

36
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot

Conclusion Conclusion

Détecter le trafic Orbot aidera à identifier les

infections possibles sur votre réseau. Il garde les
yeux de votre équipe réseau ouverts à
différents types de logiciels malveillants cachés
derrière le réseau Tor. Tor non seulement crypte
son trafic, mais déguise également son trafic en
communications HTTPS, ce qui fait d’un IDS un
atout précieux pour mettre ce trafic à part du
trafic HTTPS normal que nous savons tous qu’il
est sur le réseau.

37
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Conclusion

Afin d’améliorer la détection du réseau Orbot

nous recommandons :

38
 Extraction des empreintes Détection de l’utilisation de Conclusion
Introduction Les attaques informatiques L’anonymat et vie privée
numériques l’application Orbot
Conclusion

Les recommandations proposées

l
il nécessaire de faire des Mettre une charte de Sensibilisation et Mise en place d’un
mises à jour fréquentes. bonne conduite au sein formation : On doit être serveur d’annuaire interne
L'efficacité de ce système de l’entreprise : interdire toujours vigilants contre les à l’entreprise pour
de détection dépend ou mettre à la menaces venant de enregistrer les profils des
fortement de la précision quarantaine toute l’application Orbot vu les employés
de sa base de signature. utilisation de cette risques liés à son utilisation
application.

39