Tor : des nœuds espions au cœur du réseau ?

RéseauxSécurité
tor-noeuds-malveillants

Deux chercheurs ont constaté que des relais situés au cœur du réseau Tor recherchent des informations sur les services cachés vers lesquels ils dirigent.

Il n’y a pas que les nœuds en sortie du réseau Tor qui puissent être malveillants.

Ce constat, Guevara Noubir et Amirali Sanatinia l’ont établi dans un rapport qu’ils présenteront en détail lors de la prochaine Def Con, du 4 au 7 coût 2016 à Las Vegas.

Les deux chercheurs de l’université Northeastern (Boston) sont allés au-delà des relais qui font l’interface avec le Web pour s’intéresser à ceux qui référencent des éléments-clés permettant d’accéder à des services cachés.

Ces HSDirs (« Hidden Service Directories ») peuvent fournir des adresses en .onion, des clés publiques ou encore des points d’introduction. On en compte plus de 3 000, selon les dernières statistiques de l’organisation qui porte le projet Tor.

Paramétrés correctement, ces relais n’enregistrent aucune information relative aux sites vers lesquels ils acheminent. Sauf que des entités – gouvernements, entreprises, hackers… – peuvent tout à fait en modifier le code.

Noubir et Sanatinia l’ont déterminé en déployant 4 500 services cachés en .onion, sans communiquer leur adresse à personne, sur le principe des « pots de miel ».

En 72 jours d’expérimentation, au moins 110 relais ont recherché des informations sur ces services cachés. Souvent à plusieurs reprises, certains se concentrant sur la page d’état du serveur quand d’autres recherchaient des vulnérabilités.

La plupart de ces nœuds indésirables sont hébergés aux États-Unis, en Allemagne et en France. Ce qui ne veut pas dire que les individus qui les ont mis en place se trouvent dans ces mêmes pays. Le traçage est d’autant plus complexe que plus de la moitié des HSDirs concernés étaient hébergés sur le cloud.

Dans l’absolu, la problématique n’est pas nouvelle : début 2014, on avait vu apparaître des nœuds malveillants exploitant des failles dans le réseau pour tenter de démasquer l’identité de ses utilisateurs.

De fil en aiguille, les regards se sont tournés vers l’université Carnegie Mellon, dont on a récemment appris que les travaux dans le domaine avaient été financés par le gouvernement américain.

Des documents de justice l’ont confirmé dans le cadre de l’affaire Silk Road 2, du nom de cette place de marché noir en ligne qui avait pris la suite de Silk Road, premier du nom… et que les autorités américaines avaient fait fermer lors de l’opération « Onymous ».

Crédit photo : guteksk7 – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur