Un acteur malveillant a compromis plus de 25% des relais du réseau Tor, selon une étude

Des cybercriminels ont pris le contrôle d’un quart de tous les relais du réseau Tor pour lancer des attaques de type man-in-the-middle (attaque de l’homme du milieu), cibler des adresses Bitcoin et bien plus encore.

Tor est un logiciel qui permet aux utilisateurs d’obscurcir leur trafic réseau en l’acheminant automatiquement via de nombreux relais gérés par des bénévoles dans le monde entier. Ce trafic est généralement chiffré, donc l’intercepter n’est pas chose aisée, mais l’attaquant a fait quelque chose de plus subtil.

Le chercheur en sécurité «nusenu» a publié une analyse approfondie des actions des acteurs malveillants en 2021, affirmant qu’il s’agissait probablement de l’attaque de relais la plus importante à ce jour, couvrant environ 27% des relais Tor Network, une estimation prudente.

Le problème que le chercheur a découvert concerne la manière dont le navigateur Tor traite les liens non sécurisés. Il s’avère que le navigateur Tor n’est pas uniquement HTTPS, ce qui signifie qu’il peut également afficher HTTP. Afficher des sites Web en texte brut est une mine d’or pour les attaquants à la recherche d’informations précieuses.

Le chercheur affirme également que la nature complète des attaques n’est pas connue, à quelques exceptions près.

«Nous connaissons mitmproxy, sslstrip, les réécritures d’adresses bitcoin et les attaques de modification de téléchargement, mais il n’est pas possible d’exclure d’autres types d’attaques. Imaginez qu’un attaquant exécute 27% de la capacité de sortie du réseau Tor et qu’un exploit de Firefox affectant le navigateur Tor soit publié avant que tous les utilisateurs aient installé leurs mises à jour (automatiques) », a déclaré nusenu.

La réécriture d’adresses sslstrip et bitcoin est intéressante car cela signifie probablement que les attaquants effectuent ce qu’on nomme une suppression SSL, forçant les victimes à utiliser une version HTTP (non sécurisée) pour le service de minage de crypto-monnaie, exposant les adresses à l’attaquant. Cela les laisse libres de rediriger des fonds vers leurs portefeuilles.

Le chercheur a également publié plusieurs atténuations possibles, telles que le passage de Tor vers une version uniquement HTTPS, mais ce n’est pas simple à réaliser pour le moment. Il a également proposé quelques mesures qui permettraient de vérifier plus facilement quand les relais sont contaminés.

Les quelques indicateurs disponibles semblent montrer que l’attaquant opère depuis la Russie, mais il est difficile de vérifier cette information.