Depuis au moins 2017, un attaquant inconnu, doté d’importantes ressources et apparemment soutenu par un État, a exploité des milliers de serveurs potentiellement malveillants en position d’entrée, de milieu et de sortie du réseau Tor. Un chercheur en sécurité informatique sous le pseudonyme Nusenu, lui-même membre de la communauté, y voit une tentative de désanonymisation à grande échelle des utilisateurs du service.
Sommaire
900 serveurs à 155 Gbits/s
L’acteur menaçant, que Nusenu a baptisé KAX17, exploitait en période de pointe plus de 900 serveurs sur le réseau Tor, avec une capacité maximale de bande passante de 155 Gbit/s. Cela représente un peu plus de dix pour cent de l’ensemble de l’interconnexion, qui affiche normalement un nombre total quotidien de 9 000 à 10 000 nœuds.
Certains de ces serveurs attribués à KAX17 font office de points d’entrée (gardiens), d’autres de relais intermédiaires et d’autres encore de points de sortie. Ces derniers, en tant que nœuds de sortie, représentent la dernière étape de la route de dissimulation qui maintient la connexion entre Tor et le reste de l’Internet.
La tâche de ces nœuds est de crypter et d’anonymiser ensemble le trafic de données des utilisateurs. Il en résulte un immense réseau de serveurs proxy qui se transmettent les connexions entre eux tout en préservant la vie privée des utilisateurs.
Serveurs sans coordonnées acceptés en cas d’urgence
Les serveurs ajoutés au réseau Tor doivent en fait contenir des informations de contact rudimentaires. Cela doit permettre aux administrateurs du service et aux autorités de poursuite pénale de contacter les exploitants des nœuds en cas de mauvaise configuration ou de signaler un abus. Une adresse électronique enregistrée est suffisante à cet effet.
Le respect de cette règle n’est toutefois pas strictement contrôlé. C’est justement lorsque le réseau ne comporte pas un nombre suffisamment important de nœuds actifs pour dissimuler le trafic de données des utilisateurs que les exploitants de Tor ferment les yeux et acceptent des serveurs sans coordonnées.
Des centaines de nœuds à tout moment
Selon un article publié cette semaine par Nusenu, un modèle a été identifié dans certains de ces relais Tor sans adresses électroniques. L’expert l’a remarqué pour la première fois en 2019. Entre-temps, il a retracé le phénomène jusqu’en 2017. Selon lui, KAX17 ajoute constamment et en grande quantité de nouveaux serveurs sans informations de contact au réseau. A n’importe quel moment, l’attaquant aurait ainsi eu des centaines de nœuds en service.
Les mystérieux serveurs se trouvent généralement dans des centres de calcul répartis dans le monde entier. KAX17 ne mise pas uniquement sur des hébergeurs bon marché, mais aussi sur le cloud de Microsoft. Les appareils sont principalement configurés en tant que points d’entrée et de milieu, mais un petit nombre de nœuds de sortie sont également présents.
Dévoiler les utilisateurs de Tor
C’est inhabituel, car la plupart des attaquants pertinents ont tendance à se concentrer sur l’exploitation des points de sortie. Cela leur permet entre autres de modifier le trafic de l’utilisateur. Selon Nusenu, l’orientation plus large de KAX17 suggère que le groupe « persévérant » cherche à collecter des informations sur les membres de Tor et à enregistrer leurs itinéraires au sein du réseau. Il ne s’agit pas d’amateurs, vu l’ampleur des ressources et des efforts déployés.
Nusenu calcule qu’il y avait parfois une probabilité de 16 % qu’un utilisateur de Tor se connecte au réseau via l’un des serveurs KAX17. La probabilité qu’il passe par l’un des relais intermédiaires était même de 35 %. Avec 5 %, il était plutôt improbable d’être saisi par le groupe en quittant Tor.
La probabilité élevée d’un contact à l’entrée et au milieu du réseau peut définitivement être utilisée pour identifier des services cachés (« Hidden Services ») exploités via Tor, a expliqué le chercheur Neal Krawetz, spécialisé dans les technologies d’anonymisation, au magazine en ligne The Record. Cette approche « peut également être utilisée pour démasquer les utilisateurs ». La possibilité de surveiller en parallèle des services publics en ligne généraux et de suivre ainsi les traces des utilisateurs est prometteuse à cet égard.
Des erreurs ont été commises par KAX17
L’année dernière déjà, Nusenu avait montré que Tor pouvait être infiltré relativement facilement. Selon lui, le groupe de pirates BTCMITM20 a exploité des nœuds de sortie à grande échelle. Aux heures de pointe, la probabilité de tomber sur un tel serveur en naviguant sur Tor atteignait 27 %. L’objectif des escrocs était de détourner les transferts de bitcoins vers leurs propres comptes via Tor. Les nœuds ont été découverts parce qu’ils utilisaient une quantité inhabituelle de bande passante et manipulaient le trafic de données.
Nusenu ne croit pas à un lien entre KAX17 et BTCMITM20, étant donné les profils différents des attaques. Il n’y voit pas non plus un projet scientifique. Même si KAX17 est un acteur puissant, il a déjà commis une erreur au niveau de la sécurité opérationnelle (OpSec), du moins dans un premier temps : Il a d’abord indiqué une adresse e-mail sur certains de ses serveurs.
Cette adresse de courrier électronique est apparue plus tard sur une liste de diffusion du projet Tor, précisément lors de discussions sur la question de savoir s’il valait mieux supprimer par précaution les serveurs ne comportant pas de telles coordonnées. Le participant s’est opposé à cette procédure.
Une course au lapin et au hérisson – avec la NSA ?
Selon Nusenu, les serveurs de KAX17 sont signalés au projet Tor depuis l’année dernière. L’équipe de sécurité de ce dernier aurait alors supprimé tous les nœuds de sortie du groupe en octobre 2020. Peu de temps après, certains de ces serveurs seraient toutefois revenus en ligne sans informations de contact. Il est probable que KAX17 en soit à l’origine. Apparemment, une course au lièvre et au hérisson se développe entre les deux parties.
Un porte-parole du projet Tor a confirmé à The Record les nouvelles conclusions de Nusenu. Il a expliqué qu’en octobre et en novembre de cette année, plusieurs centaines de nœuds attribués à KAX17 avaient également été supprimés. L’auteur de l’attaque fait toujours l’objet d’une enquête et ne peut donc pas encore être attribué. Il n’y a pas encore d’indications précises sur l’identité de l’auteur. Les révélations d’Edward Snowden avaient déjà laissé entendre que la NSA, le service de renseignement technique américain, pourrait au moins avoir les capacités nécessaires.
Bien que Nusenu s’y soit opposé jusqu’à présent, l’expert estime qu’il est désormais judicieux et parfois nécessaire d’exclure les nœuds non fiables du réseau Tor de certains mouvements de données. C’est la seule façon de réduire le risque de désanonymisation et d’autres attaques. Pour cela, il est nécessaire que les clients Tor puissent prérégler l’utilisation d' »opérateurs de confiance » ou apprendre à les connaître grâce à des « ancres de confiance ». Plus de 50 % des nœuds de sortie sont déjà équipés d’une telle procédure d' »autodéfense ».