Dark Web : 25% des relais Tor espionnent les utilisateurs

Selon une nouvelle étude sur l’infrastructure du Dark Web, un hacker non identifié a réussi à contrôler plus de 27% de la capacité de sortie totale du réseau Tor début février 2021.

Une attaque qui date

L’auteur qui attaque les utilisateurs de Tor les exploite activement depuis plus d’un an. Selon un chercheur indépendant connu sous le nom de Nusenu, l’ampleur de ces attaques a atteint un nouveau niveau record. La fraction de sortie moyenne contrôlée par ce pirate ou groupe de pirates était supérieure à 14% au cours des 12 derniers mois.

C’est le dernier d’une série d’efforts entrepris pour mettre au jour l’activité malveillante de Tor perpétrée par l’acteur depuis décembre 2019. Les attaques, qui auraient commencé en janvier 2020, ont été documentées et révélées pour la première fois par le même chercheur en août 2020.

Un des plus importants contrôles de nœuds de sortie Tor

En naviguant sur Tor, quiconque ne peut voir quels sites l’utilisateur visite. Alors que les relais intermédiaires s’occupent généralement de recevoir le trafic sur le réseau et de le transmettre, un relais de sortie est le dernier nœud que traverse le trafic Tor avant d’atteindre sa destination. Les nœuds de sortie sur le réseau Tor ont déjà été subvertis pour injecter des logiciels malveillants comme OnionDuke. Mais c’est la première fois qu’un seul acteur non identifié parvient à contrôler une si grande fraction des nœuds de sortie Tor.

Tor

Le hacker a maintenu 380 relais de sortie Tor malveillants à son apogée en août 2020, avant que les autorités de l’annuaire Tor n’interviennent pour éliminer les nœuds du réseau. L’activité a de nouveau pris de l’ampleur au début de cette année, l’attaquant tentant d’ajouter plus de 1000 sorties relais dans la première semaine de mai. Tous les relais de sortie Tor malveillants détectés lors de la deuxième vague d’attaques ont depuis été supprimés.

Mener des attaques MITM

Selon Nusenu, le principal objectif du hacker est de mener des attaques MITM (man-in-the-middle ou personne du milieu) contre les utilisateurs de Tor en manipulant le trafic alors qu’il circule à travers son réseau de relais de sortie. Plus précisément, l’attaquant semble effectuer ce qu’on appelle une suppression SSL pour rétrograder le trafic vers les services de mixage Bitcoin de HTTPS vers HTTP. Le but est de remplacer les adresses bitcoin et de rediriger les transactions vers les portefeuilles des hackers au lieu de l’adresse bitcoin fournie par l’utilisateur.

Pour atténuer ces attaques, le projet Tor a présenté un certain nombre de recommandations. Il exhorte notamment les administrateurs de sites Web à activer HTTPS par défaut et à déployer des sites .onion pour éviter les nœuds de sortie, ajoutant qu’il travaillait sur un  correctif complet pour désactiver HTTP dans le navigateur Tor.