Nous l’avions déjà évoqué dans un précédent billet ! Le navigateur TOR présenterait des failles qui permettent de rediriger le trafic. Contre toute attente, un groupe de hacker a tiré profit de cette faille pour détourner pratiquement un quart du réseau TOR. Explications !
Une attaque qui s’inscrit dans la durée
Selon Nusenu, un consultant en Cybersécurité qui avait rendu cette affaire publique, l’attaque ne date pas d’hier. Dès le début de l’année, le groupe de hackers avait déjà ajouté des serveurs au réseau TOR. Ceci dans le but de mener une attaque de type SSL striping.
Ce type d’attaque consiste à intercepter les connexions grâce à un point d’accès contrôlé par le hacker (ici les serveurs ajoutés au réseau). Ce procédé est particulièrement difficile à détecter puisque le reste du réseau confirmera que des connexions sécurisées ont été établies. Ce faisant, le pirate informatique pourra collecter les données d’authentification de la victime.
Toujours est-il qu’à grande échelle, cette technique a permis au groupe de hackers de contrôler un quart du réseau Tor en mai 2020. Ils avaient notamment le contrôle sur les relais de sortie. Ce qui leur permettait même de rediriger les victimes vers des adresses de leur choix. Ce qui ouvre de nombreuses possibilités.
Selon Nusenu, le groupe avait la mainmise sur plus de 300 relais de sortie TOR. Rassurez-vous l’équipe qui administre le réseau a pris les mesures nécessaires pour y remédier. Aujourd’hui, les serveurs factices ont été tour à tour identifiés pour ensuite être déconnectés du réseau.
Une attaque pour dérober des crypto monnaies
Nul ne sait réellement les objectifs des auteurs de cette attaque. Toutefois, une chose est sûre toujours selon Nusenu. Les hackers avaient mis en place un système bien rodé pour dérober des cryptomonnaies.
L’attaque SSL striping visait à prendre le contrôle du trafic pour identifier les personnes qui accédaient à leur portefeuille électronique de cryptomonnaie via le navigateur TOR. Effectivement, les monnaies virtuelles décentralisées éveillent naturellement l’intérêt des pirates informatiques. Ces devises leur garantissent l’anonymat puisque les autorités compétentes ne peuvent retracer les transactions.
Pour cette attaque, les hackers ont décidé de remplacer les adresses de destination des transferts initiés avec les « mixers » de Bitcoin. Ces derniers permettent d’effectuer les transferts en les fractionnant en une multitude de petits envois. Ces envois passent eux-mêmes par d’innombrables adresses intermédiaires. Lors de cette attaque, les hackers changeaient l’adresse de destination finale. De quoi détourner des Bitcoins avec facilité.
Une attaque d’une ampleur inédite
À vrai dire, les attaques consistant à remplacer les adresses de destination par une autre ne datent pas d’hier. Déjà en 2017, de nombreux détenteurs de crypto monnaies ont été victimes de cette supercherie. Ce qui les a encouragés à vérifier minutieusement l’adresse avant chaque envoi.
L’attaque par SSL striping qui a touché TOR est toutefois pratiquement indétectable pour les victimes. Ils peuvent tout juste découvrir qu’ils passent du protocole HTTPS au protocole HTTP. Un changement qui passe inaperçu dans la majorité des cas.
Dans tous les cas, Nusenu estime que les hackers ont réussi à prendre le contrôle de 380 serveurs en mi-mai 2020. A cette période de l’année, le groupe de hackers contrôlait 23,95 % des relais de sortie. En conséquence, un utilisateur sur 4 aura été victime de cette attaque à cette occasion.
Le chercheur a tenu à préciser qu’il a signalé TOR au mois de mai. Toutefois, les développeurs n’ont pu mettre en œuvre des mesures efficaces qu’au mois de juin. L’équipe technique de TOR a réussi progressivement à reprendre le contrôle de ses nœuds.
Pour éviter que ce scénario se reproduise à l’avenir, Nusenu suggère que les entités qui souhaitent rejoindre TOR en mettant à disposition leurs serveurs fassent l’objet d’un contrôle d’identité. Bien que cette suggestion soit légitime, il a lieu de rappeler que l’anonymat est justement le maitre mot de TOR. Détenir des informations sur les entités qui contribuent au bon fonctionnement du réseau enfreint ce principe. D’ailleurs, ces partenaires s’exposent à des poursuites menées par des gouvernements du monde entier.
Une attaque qui rappelle celle de 2018
À vrai dire, une attaque similaire à celle-ci a visé Tor en 2018. Cette fois-ci, les hackers visaient les proxys Tor-to-web. Ces derniers permettaient aux internautes d’accéder au dark web et à ses fameux sites. onion. En les détournant, il est encore une fois possible de mener une attaque de type Man in the middle.
En 2018, une société américaine qui se spécialise dans le cyber sécurité avait signalé qu’un proxy Tor2web a été détourné. Celui-ci permettait aux hackers de changer l’adresse Bitcoin pour encaisser le transfert, mais également pour rediriger l’utilisateur vers une adresse infectée par un ransomware.