TOR Onion : Des centaines de sites compromis par le FBI et un exploit ciblant les utilisateurs

1
181

En ce début août, des centaines d’adresses TOR Onion ont disparu du service d’anonymisation gratuit mondial. Le FBI ne serait pas étranger à cela… Dans un même temps, un exploit cible les utilisateurs de TOR sous Firefox et permet de récupérer l’adresses IP réelle.

Que se passe-t-il sur le réseau TOR, si prisé par les défenseurs des libertés et les pirates informatiques ? Tous les services semblent avoir été touchés (Onion et Tormail) et le fondateur de Freedom Hosting a été arrêté dans la foulée par le FBI.

L’équipe de Tor Project indique que de très nombreuses adresses Tor Onion ont disparu du service. L’une des principales causes serait la fermeture d’une société d’hébergement, Freedom Hosting, spécialisée dans les services cachés, les Hidden Services (Deep Web), qui aurait été soudainement déconnectée d’Internet après que son fondateur ait été arrêté à Dublin en Irlande (il serait actuellement en attente d’extradition vers les Etats-Unis).

Un Hidden Service un serveur qui est accessible uniquement via le réseau Tor. Alors que la plupart des gens savent que le réseau Tor, avec ses milliers de nœuds gérés par des bénévoles, assure l’anonymat pour les utilisateurs qui ne souhaitent pas être suivis et identifiés sur l’Internet, la fonction Hidden Service fournit de l’anonymat aussi aux opérateurs du serveur. “N’importe qui peut utiliser les services cachés et beaucoup le font. Nous l’utilisons en interne sur le projet Tor pour offrir à nos développeurs l’accès anonyme à des services tels que SSH, IRC, HTTP, et notre bug tracker“, explique l’équipe Tor Project.

freedomhosting

Le FBI s’est intéressé à la société Freedom Hosting, cet hébergeur connu des espaces undergrounds dédiés à la pédopornographie. Alors que l’agence fait tout pour faire extrader le propriétaire de Freedom Hosting, Eric Eoin Marques, un irlandais de 28 ans, il est fort probable que tous les internautes liés de près ou de loin à l’hébergeur illégal soient d’ores-et-déjà surveillés de près par les agents américains. Les autorités américaines cherchent l’extradition de ce que la justice américaine nomme comme étant “le plus important fournisseur de documents pédophiles du web“. S’il est reconnu coupable, il fait face à des peines allant jusqu’à 30 ans de prison. Le FBI aurait mis un an avant de localiser M. Marques.

Il y a plusieurs jours déjà que les utilisateurs avaient remarqué des coupures massives de services cachés Tor, qui étaient tous majoritairement liés à Freedom Hosting.

freedom-host-down-tor

 

A noter aussi qu’un exploit JavaScript qui permet de récupérer l’adresse IP réelle des utilisateurs TOR, via le navigateur Web Firefox 17 (sous Windows) a été massivement utilisé et diffusé. Rappelons que le logiciel Tor Browser bundle est basé précisément sur ce navigateur. L’exploit se diffusait à partir des serveurs de Freedom Hosting et envoyait les informations volées à l’adresse IP 65.222.202.54 basée chez Verizon à Washington.

 

“Down for Maintenance
Sorry, This server is currently offline for maintenance. Please try again in a few hours.”

Si vous avez vu ce message pendant une session de navigation Tor, c’est que vous êtes allé un nœud géré par Freedom Hosting. L’exploit JavaScript a donc été dans votre navigateur si vous aviez activé le JavaScript.

Que fait l’exploit ?

L’exploit JavaScript zero-day créer un cookie unique et envoie une requête à un serveur aléatoire géré par Verizon, contenant vos informations d’identifications (navigateur Web et adresse IP). Il est supposé que le FBI récupérait toutes les données ensuite.

Une iFrame a été injectée afin de diffuser l’exploit dans de nombreux sites hébergés par Freedom Hosting (voir le PasteBin détaillé). Toute personne ayant accédé à un site du réseau Freedom Hosting est potentiellement touchée.

alert-tor-verizon-server

 

Certes, on ne peut qu’être satisfait du résultat de cette opération car elle a permis de faire le ménage dans la pédopornographie. Mais il y a eu néanmoins trop de dommages collatéraux en infectant tous les visiteurs des sites de l’hébergeur FH. Faut-il vraiment accepter ce genre de “bon malware” ?

Une réponse officiel de l’équipe responsable de Tor a été publiée sur leur blog. Tous les détails techniques de l’attaque via l’exploit Firefox 17 ont eux aussi été publiés. Une analyse technique a été mise en ligne dans la foulée par le chercheur en sécurité Brian Krebs.

Ce que l’on peut en déduire

  • Le FBI vient de fermer le plus grand site d’hébergement illégal du Deep Web ainsi que la personne N°1 dans la liste des plus recherchées sur  Tor
  • Silkroad est vraisemblablement le prochain sur leur liste, étant donné qu’il occupe la seconde place des plus recherchés (pornographie infantile en première position, puis vient la drogue)
  • Bitcoin et toutes les crypto-monnaies sont en danger car les fédéraux ne peuvent pas contrôler cette monnaie à leur guise.

 

C’est sans doute un coup dur pour la communauté TOR, et, plus généralement, à l’anonymat sur Internet. De plus, tout cela se passe au cours de la DEFCON 2013…

INFO-Deep-web-3

Les commentaires sont fermés.