Tor a un problème récurrent dont il peine à se débarrasser. Depuis 16 mois, des malfaiteurs ajoutent des centaines de serveurs malveillants à son réseau. L’organisation a beau les retirer à intervalles réguliers, les malfrats parviennent toujours à en ajouter de nouveaux. Leur objectif ? Détourner les transactions en cryptomonnaie des utilisateurs de Tor. Cette activité cybercriminelle est surveillée depuis août 2020 par le chercheur nusenu, avec qui The Record Media s’est entretenu.

Si vous n’êtes pas familier avec Tor, ce réseau permet à ses utilisateurs de naviguer sur internet avec un très haut niveau d’anonymat. En résumé, il fait passer la connexion de l’utilisateur par au moins trois serveurs, chacun tenu par des organisations ou particuliers bénévoles. Et ce n’est pas tout : chaque serveur ne connaît que l’adresse du serveur précédent. Résultat : si un site veut savoir d’où vient votre connexion, il verra simplement l’adresse du nœud de sortie de Tor, le dernier serveur de la chaîne et seule face du réseau Tor visible à l’internet public. Ainsi, il ne pourra pas remonter jusqu’à vous.

Le degré d’anonymat élevé qu’offre Tor justifie son utilisation par toutes sortes de personnes qui veulent échapper aux contrôles sur internet, qu’ils soient activistes, journalistes, cybercriminels ou simplement soucieux du sujet.

Image d'erreur

Les cybercriminels parviennent à détourner les transactions en bitcoin. // Source : Pxhere

N’importe qui peut monter un serveur Tor, à condition de remplir certains critères techniques, et le projet Tor prévient des risques légaux auxquels s’exposent les bénévoles. Mais l’équipe du  Nusenu affirme qu’en février 2021, pas moins de 27 % des nœuds de sorties Tor étaient contrôlés par les malfrats. Et même après un grand nettoyage des serveurs malveillants par l’équipe du réseau, les malfrats en contrôlaient encore 5 à 6% d’après le chercheur.

La manipulation est loin d’être évidente à mettre en place : les bénévoles de Tor mettent régulièrement hors ligne les serveurs malveillants, et ils peuvent détecter un ajout massif de serveurs, qui serait forcément suspect. Les cybercriminels ont donc probablement ajouté progressivement leurs serveurs pour passer sous le radar.

Les cybercriminels font sauter la sécurité de la connexion aux sites

Puisqu’ils contrôlent le nœud de sortie Tor, les cybercriminels peuvent intercepter le trafic. Sauf que dans la grande majorité des cas, la connexion aux sites est chiffrée en HTTPS, et ils ne peuvent donc pas lire son contenu. C’est pourquoi ils utilisent une « SSL stripping attack », une manipulation qui consiste à forcer l’internaute à se connecter à une version HTTP (non chiffrée) de son site de destination. S’il ne s’en rend pas compte, alors les cybercriminels pourront l’espionner, mais aussi modifier les échanges avec le site. Par exemple, ils pourront remplacer l’adresse du portefeuille de destination d’une transaction par celle d’un portefeuille en leur possession.

Le groupe de malfrats vise exclusivement le trafic vers les sites liés aux cryptomonnaies, et c’est ce qui lui permet de ne pas immédiatement faire détecter ses serveurs. Tor a conscience du problème, et réfléchit à désactiver la navigation sur les sites HTTP. Aujourd’hui, plus de 90 % des sites sont accessibles en HTTPS, notamment car il est possible d’obtenir des certificats gratuitement grâce à l’initiative militante Let’s Encrypt.

En attendant cette éventuelle modification de la navigation sur Tor, charge aux utilisateurs de contrôler qu’ils accèdent bien aux versions HTTPS des sites qu’ils visitent.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !