C'est ce qu'annonce le service lui-même le service sur son blog : « Le 4 Juillet 2014, nous avons trouvé un groupe de relais dont le but supposé était de contourner l'anonymat des utilisateurs. Il semble qu'ils ciblaient les internautes qui utilisent Tor pour accéder ou exploiter des services cachés. Les attaques entraînaient la modification des en-têtes de Tor pour s'effectuer. » Pour information, le terme relais désigne sur Tor les nœuds du réseau, qui reçoivent et transmettent les informations de façon aléatoire et intermédiaire, normalement pour favoriser l'anonymat des utilisateurs en les rendant difficiles à tracer.
« Les relais attaquants ont rejoint le réseau le 30 Janvier 2014, et nous les avons supprimés du réseau le 4 juillet. Bien que nous ne sachions pas précisément quand l'attaque a commencé, les utilisateurs qui ont accédé à des services cachés à partir de début février peuvent considérer qu'ils sont touchés » ajoute les administrateurs de Tor. La période sensible a donc duré environ 6 mois.
Sur les autres points, le service est flou : l'étendue de l'intrusion est encore inconnue, et les données susceptibles d'avoir été interceptées ne sont pas quantifiables. « Les attaquants n'étaient probablement pas en mesure de voir toutes les informations » estime la plateforme. « L'attaque cherchait peut-être à identifier les personnes ayant publié sur des services cachés, ce qui permettrait aux pirates de comprendre où se situent ces derniers. »
Les utilisateurs de Tor sont invités à mettre à jour la version du logiciel utilisée pour être à l'abri de la faille, corrigée sur les versions 0.2.4.23 et 0.2.5.6-alpha.
La mise en lumière de ce piratage intervient quelques jours seulement après l'annulation d'une conférence sur Tor qui devrait se tenir lors de la convention Black Hat : un chercheur du nom d'Alexander Volynkin avait prévu d'y démontrer que lever l'anonymat sur Tor est moins complexe et coûteux qu'il n'y parait. Sa démonstration a finalement été déprogrammée.
