Des cybercriminels ont réussi la prouesse de contrôler près d'un quart des nœuds de sorties du réseau Tor. Leur objectif : détourner les transactions de cryptomonnaies.

Tor a un problème récurrent dont il peine à se débarrasser. Depuis 16 mois, des malfaiteurs ajoutent des centaines de serveurs malveillants à son réseau. L’organisation a beau les retirer à intervalles réguliers, les malfrats parviennent toujours à en ajouter de nouveaux. Leur objectif ? Détourner les transactions en cryptomonnaie des utilisateurs de Tor. Cette activité cybercriminelle est surveillée depuis août 2020 par le chercheur nusenu, avec qui The Record Media s’est entretenu.

Si vous n’êtes pas familier avec Tor, ce réseau permet à ses utilisateurs de naviguer sur internet avec un très haut niveau d’anonymat. En résumé, il fait passer la connexion de l’utilisateur par au moins trois serveurs, chacun tenu par des organisations ou particuliers bénévoles. Et ce n’est pas tout : chaque serveur ne connaît que l’adresse du serveur précédent. Résultat : si un site veut savoir d’où vient votre connexion, il verra simplement l’adresse du nœud de sortie de Tor, le dernier serveur de la chaîne et seule face du réseau Tor visible à l’internet public. Ainsi, il ne pourra pas remonter jusqu’à vous.

Le degré d’anonymat élevé qu’offre Tor justifie son utilisation par toutes sortes de personnes qui veulent échapper aux contrôles sur internet, qu’ils soient activistes, journalistes, cybercriminels ou simplement soucieux du sujet.

Les cybercriminels parviennent à détourner les transactions en bitcoin. // Source : Pxhere

N’importe qui peut monter un serveur Tor, à condition de remplir certains critères techniques, et le projet Tor prévient des risques légaux auxquels s’exposent les bénévoles. Mais l’équipe du  Nusenu affirme qu’en février 2021, pas moins de 27 % des nœuds de sorties Tor étaient contrôlés par les malfrats. Et même après un grand nettoyage des serveurs malveillants par l’équipe du réseau, les malfrats en contrôlaient encore 5 à 6 % d’après le chercheur.

La manipulation est loin d’être évidente à mettre en place : les bénévoles de Tor mettent régulièrement hors ligne les serveurs malveillants, et ils peuvent détecter un ajout massif de serveurs, qui serait forcément suspect. Les cybercriminels ont donc probablement ajouté progressivement leurs serveurs pour passer sous le radar.

Les cybercriminels font sauter la sécurité de la connexion aux sites

Puisqu’ils contrôlent le nœud de sortie Tor, les cybercriminels peuvent intercepter le trafic. Sauf que dans la grande majorité des cas, la connexion aux sites est chiffrée en HTTPS, et ils ne peuvent donc pas lire son contenu. C’est pourquoi ils utilisent une « SSL stripping attack », une manipulation qui consiste à forcer l’internaute à se connecter à une version HTTP (non chiffrée) de son site de destination. S’il ne s’en rend pas compte, alors les cybercriminels pourront l’espionner, mais aussi modifier les échanges avec le site. Par exemple, ils pourront remplacer l’adresse du portefeuille de destination d’une transaction par celle d’un portefeuille en leur possession.

Le groupe de malfrats vise exclusivement le trafic vers les sites liés aux cryptomonnaies, et c’est ce qui lui permet de ne pas immédiatement faire détecter ses serveurs. Tor a conscience du problème, et réfléchit à désactiver la navigation sur les sites HTTP. Aujourd’hui, plus de 90 % des sites sont accessibles en HTTPS, notamment car il est possible d’obtenir des certificats gratuitement grâce à l’initiative militante Let’s Encrypt.

En attendant cette éventuelle modification de la navigation sur Tor, charge aux utilisateurs de contrôler qu’ils accèdent bien aux versions HTTPS des sites qu’ils visitent.

Crédit photo de la une : Tor Project

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux