Dark Web : le réseau Tor sujet d’une campagne d’attaques de désanonymisation massive

Les faits ont été observés depuis 2017.

Il semblerait qu’un pirate informatique, ou un groupe de pirates doté de moyens assez considérables a / ont décidé de se servir de certaines vulnérabilités pour initié à grande échelle une campagne desanonymisation sur le réseau TOR.  En d’autres termes, c’est une attaque informatique d’ampleur, probablement soutenu par un État, qui consiste à trouver des failles au réseau pour être en mesure d’identifier ceux qui s’y connectent.

Cet article va aussi vous intéresser : Dark Web : un piratage qui s’est soldé par le vol de 600 000 numéros de cartes de crédit

Cet acteur au cœur de cette campagne malveillante est connu sous la dénomination de KAX17. Ces agissements ont été observés et étudiés par un spécialiste de la sécurité informatique connu sous le pseudonyme de Nusenu. Ce dernier : « KAX17 exploitait en période de pointe plus de 900 serveurs sur le réseau Tor, avec une capacité maximale de bande passante de 155 Gbit/s. Cela représente un peu plus de dix pour cent de l’ensemble de l’interconnexion, qui affiche normalement un nombre total quotidien de 9 000 à 10 000 nœuds. ».

Une partie des serveurs qu’il attribue à KAX17 servent aussi de point d’entrée. Et d’autres servent d’intermédiaires. « Ces derniers, en tant que nœuds de sortie, représentent la dernière étape de la route de dissimulation qui maintient la connexion entre Tor et le reste de l’Internet. », explique le chercheur.

Ces nœuds ont pour fonctionnalités principales de crypter et de rendre anonyme l’ensemble du trafic et des données des utilisateurs de réseau Tor. Ce qui donne une constitution de réseau et de serveurs proxy qui se transmettre des connexions de sorte à garantir la vie privée et la sécurité ainsi si que l’anonymat des utilisateurs.

Selon le spécialiste de la cybersécurité dans un article publié dans le courant de la semaine, « un modèle a été identifié dans certains de ces relais Tor sans adresses électroniques. ». Ce dernier l’aurait remarqué en 2019 précisément. En essayant de retracer le phénomène, il s’est rendu compte qu’il remonte depuis l’année 2017. Selon lui, l’acteur malveillant ajoute de manière progressive et constante une grande quantité de serveur sans information de contact au réseau. C’est qui lui permet à n’importe quel moment d’avoir accès à une centaine de nœuds en service

« Les mystérieux serveurs se trouvent généralement dans des centres de calcul répartis dans le monde entier. KAX17 ne mise pas uniquement sur des hébergeurs bon marché, mais aussi sur le cloud de Microsoft. Les appareils sont principalement configurés en tant que points d’entrée et de milieu, mais un petit nombre de nœuds de sortie sont également présents. », explique Nusenu dans son article.

Après plusieurs analyses, le chercheur en cybersécurité met en évidence une conclusion inquiétante. La ou les personnes derrière KAX17 ne sont pas des amateurs. Il a juste de manière contrôlée et très efficace en ayant un objectif bien en tête. Le fait de pouvoir collecter des informations sur l’ensemble des personnes qui utilisent le réseau Tor et si possible suivre leur trafic aussi de ce réseau. Et cela demande énormément de ressources qu’il déploie. En effet selon note chercheurs en sécurité informatique, il y a 16 pourcents de chance qu’un utilisateur de Tor se connecte au réseau en passant par le serveur KAX17. L’éventualité que l’utilisateur passe à un relais intermédiaire de ce tracteur malveillant est de 35 %.

Selon Neal Krawetz, chercheur en sécurité informatique et spécialiste en technologie d’anonymisation : « La probabilité élevée d’un contact à l’entrée et au milieu du réseau peut définitivement être utilisée pour identifier des services cachés exploités via Tor. » Cette méthode selon lui « peut également être utilisée pour démasquer les utilisateurs. La possibilité de surveiller en parallèle des services publics en ligne généraux et de suivre ainsi les traces des utilisateurs est prometteuse à cet égard. ».

Les conclusions qui ont été publiées par le chercheur en sécurité Nusenu ont été confirmées par l’indépendance paroles du projet Tor. Ce dernier à en effet expliquer que durant le mois d’octobre et de novembre 2021, il a été fait suppression de plusieurs centaines de nœuds qui auraient été déployés par l’acteur malveillant KAX17. Le porte parole a aussi déclaré qu’une enquête et concours dans le but de démasquer cet individu. Pour le moment aucun indice permet de supposer ou d’établir un lien relativement à l’identité de cet acteur malveillant. Cependant en se fiant aux révélations d’Edward Snowden, la NSA c’est-à-dire le service de renseignement technique des États-Unis capacités nécessaires pour déployer une telle compagne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage