Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
WannaCrypt : des nœuds Tor saisis par les autorités françaises
Securité

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Quand l'oignon pleure
2 min

Entre vendredi et lundi, plusieurs relais français du réseau d'anonymisation Tor ont disparu des écrans radar. Selon nos informations, ils ont été réquisitionnés par la justice, dans le cadre de l'enquête sur le ransomware WannaCrypt, qui s'appuie sur Tor pour communiquer avec son serveur de contrôle.

Il y a du trafic qu'il ne vaut mieux pas relayer. Celui du ransomware WannaCrypt, qui a infecté plus de 200 000 appareils dans le monde en quelques jours, mettant à mal certains systèmes industriels, en fait partie. Rapidement ciblé par plusieurs enquêtes, notamment d'Europol, il est à l'origine de la réquisition de plusieurs nœuds du réseau Tor chez des hébergeurs français.

Pour mémoire, WannaCrypt s'appuie sur une faille conservée par les services de renseignement américains, pour infecter des systèmes Windows obsolètes via le protocole réseau SMBv1. Pour communiquer avec le serveur de commande et contrôle (C&C), c'est Tor qui est utilisé. Du point de vue de la victime, c'est donc le nœud d'entrée du réseau « anonyme » qui est visible.

L'OCLCTIC de bon matin

Au moins trois serveurs ont ainsi baissé le rideau ce week-end, suite à la visite de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) chez ces acteurs, saisissant le contenu de ces relais. Il s'agirait de « guard nodes », c'est-à-dire de points d'entrée de confiance pour le réseau Tor, à la fois par leur disponibilité et leur bande passante.

Selon nos informations encore, ces disparitions sont dues à « une très grande vague » de perquisitions et saisies, concernant au moins plusieurs dizaines de disques durs. « Tous les relais Tor qui ont participé à cette attaque ont été saisis » nous affirme-t-on. Les principaux hébergeurs français seraient concernés par cette salve. 

Des disparitions inexpliquées

L'intervention de l'OCLCTIC pourrait suivre une demande de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Contactée, cette dernière n'a pas encore répondu à nos sollicitations.

« On a épluché les journaux du consensus des nœuds Tor. Entre vendredi et lundi, des dizaines de gros nœuds ont disparu du réseau. Il n’y a pas de raison que de tels nœuds disparaissent comme ça » affirme par ailleurs un spécialiste de Tor, contacté par nos soins. Au moins une partie des relais ont été coupés volontairement, sans intervention des autorités.

Interrogé, OVH n'a pas répondu à nos demandes. Pour leur part, Gandi et Online se sont refusés à tout commentaire. Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

Publiée le 17 mai 2017 à 15:24


Chargement des commentaires