En février 2020, un individu ou un groupe malintentionné contrôlait 27 % des nœuds de sortie du réseau Tor. Il s’en sert notamment pour détourner les adresses Bitcoin et les reverser vers son portefeuille. Il s’agit d’une menace sans précédent pour le réseau qui se veut être l’un des plus sécurisés au monde.

Tor, c’est la référence de l’anonymat sur Internet. Surtout connu pour être la porte d’entrée principale vers le dark web, il est à l’origine conçu pour anonymiser toutes actions et communications sur Internet. Pour ce faire, il utilise un système appelé « routage en oignon », qui consiste à superposer plusieurs nœuds de sécurité afin de masquer l’adresse IP de l’utilisateur. Les nœuds centraux se chargent de recevoir et redistribuer le trafic entre eux, tandis que les nœuds de sortie s’occupent de rediriger vers l’adresse web ciblée.

Ces nœuds de sortie sont donc un élément essentiel de la sécurité des utilisateurs. Les compromettre, c’est avoir accès à toutes les informations que les précédents nœuds sont censés avoir cachées. Par le passé, les nœuds de sorties ont déjà été victimes d’une attaque, notamment en injectant un malware baptisé OnionDuke capable de voler les identifiants des personnes touchées. Cette fois, c’est une opération d’une toute autre ampleur qui a été découverte.

27 % des nœuds de sortie Tor sont compromis

Depuis plus d’un an, une entité inconnue contrôle pas moins de 27 % des nœuds de sortie, affirme une étude de nusenu, chercheur en cybersécurité indépendant. « L’entité qui attaque les utilisateurs de Tor les exploite activement depuis plus d’un an et a étendu l’ampleur de ses attaques à un nouveau niveau record », explique ce dernier. « La part de sortie moyenne contrôlée par cette entité était supérieure à 14 % au cours des 12 derniers mois ». En février dernier, cette part est donc montée à plus d’un quart du trafic total.

L’opération a démarré en décembre 2019. Les premières attaques recensées remontent quant à elles à janvier 2020, d’après une étude publiée en août de la même année. À cette époque, l’entité possédait alors 380 nœuds de sortie compromis. Suite au signalement des chercheurs, Tor a désactivé ces nœuds défectueux dans l’espoir d’éliminer la menace. Ce fut un échec puisque, en ce début de mai 2021, on recensait plus de 1000 nœuds contrôlés par les attaquants. De nouveau, Tor a désactivé ces derniers.

Sur le même sujet : Dark Web—un forum clandestin qui proposait des armes et stupéfiants sur Tor démantelé par la police

Les pirates se servent des nœuds corrompus pour détourner des Bitcoin

D’après nusenu, ce contrôle permet aux pirates de lancer des attaques de l’homme du milieu, autrement dit d’intercepter les données envoyées par l’utilisateur avant qu’elles n’arrivent à leur destination. Plus précisément, ceux-ci s’en prennent aux adresses Bitcoin échangées sur les protocoles HTTP et HTTPS afin de reverser la transaction vers leurs propres portefeuilles. « Si un utilisateur visite la version HTTP d’un site, ils empêchent le site de rediriger l’utilisateur vers sa version HTTPS », explique Tor. « Si l’utilisateur ne remarque pas qu’il n’est pas sur la version HTTPS du site et procède à l’envoi ou à la réception d’informations sensibles, celles-ci peuvent être interceptées par l’attaquant ».

Pour limiter les attaques, Tor appelle les administrateurs de sites web à adopter urgemment le protocole HTTPS et d’ajouter une extension de domaine .onion pour contourner les nœuds de sortie. « Le risque d’être la cible d’activités malveillantes perpétuées via Tor est unique à chaque organisation », a déclaré l’Agence américaine de la cybersécurité (CISA) en juillet 2020. « Une organisation devrait déterminer son risque individuel en évaluant la probabilité qu’un individu malintentionné cible ses systèmes ou ses données et la probabilité de succès compte tenu des mesures de sécurité et des contrôles actuels ».

Source : nusenu