SIGAINT – Un webmail TOR du Darknet victime d’espionnage gouvernemental

1
126

Le Darknet et le chiffrement des communications semblent rester une cible de choix pour les autorités et gouvernements. Pour preuve, le webmail populaire SIGAINT basé sur TOR avertit ses utilisateurs d’avoir été victime d’espionnage et compromit.

L’administrateur du service de courrier électronique SIGAINT, populaire sur le Darknet, avertit ses utilisateurs être devenu la cible d’un organisme gouvernemental qui tente de le compromettre. Il y a une semaine, SIGAINT a été ciblé par un agresseur qui a tenté de pirater le service en utilisant près de 70 nœuds de sortie TOR corrompus. L’administrateur du service a immédiatement informé les utilisateurs via la liste de diffusion tor-talk cette semaine.

Le principe de SIGAINT, “Darknet email service”

SIGAINT utilise le réseau d’anonymisation décentralisé TOR, ce qui signifie que lorsque un mail est envoyé par un utilisateur, le courriel est acheminé à travers plusieurs relais / nœuds TOR, camouflant alors efficacement l’identité de l’expéditeur (en théorie du moins).

La dernière machine qui traite le courrier électronique est connue comme un relais de sortie TOR ou “exit-node”. L’utilisateur final qui reçoit le mail ne peut donc voir que l’adresse IP du nœud de sortie à la place de celle de l’expéditeur d’origine du message.

Exit-node : Gros point faible de TOR

Or, les relais de sortie du réseau TOR sont le point faible du système, désormais bien connu des autorités et gouvernements. Ce sont par ailleurs les seules adresses IP qui apparaissent comme l’origine des connexions, et ils attirent donc facilement l’attention.

SIGAINT ciblé directement ?

Au moins un organisme gouvernemental semble s’être intéressé de très près à SIGAINT, allant jusqu’à le compromettre afin d’espionner les communications des utilisateurs. Le service SIGAINT  vise à fournir la confidentialité des messages aux internautes du Deep Web ainsi qu’à des personnes étant limitées par des états autoritaires et répressifs, des journalistes soucieux de la sécurité, ou encore des criminels.

Il n’est donc pas étonnant de voir le service de mail anonyme devenir une cible prioritaire de choix des services de renseignement.

70 exit-nodes malveillants TOR identifiés

Initialement, l’administrateur croyait que quelqu’un avait essayé de pirater le service en utilisant 58 nœuds de sortie TOR malveillants. Cependant, Philipp Winter, qui est membre du projet TOR, a découvert 12 nœuds de sortie compromis supplémentaires, portant le total à 70 relais de sortie malveillants.

Donc, apparemment, nous avons attiré l’attention sur notre humble petit service de messagerie fonctionnant à l’intérieur du réseau TOR“, a écrit l’administrateur dans une liste de diffusion TOR. “L’attaquant a essayé divers exploits contre notre infrastructure au cours des quelques derniers mois.”

Tous les mauvais relais ont été blacklistés par les admins et ne représentent plus un risque actuellement, bien que l’administrateur de SIGAINT pense qu’il pourrait y en avoir encore d’autres non identifiés.

Attaques MITM contre sur les utilisateurs de SIGAINT

Fondamentalement, les assaillants ont agi comme l’attaque de « l’homme du milieu » (MITM) : lorsque les utilisateurs de SIGAINT étaient connectés au service sigaint.org par l’un des 70 nœuds de sortie compromis, cela leur permettant de les espionner en toute transparence.

Les mots de passe de certains utilisateurs ont été compromis. Impossible de savoir combien d’utilisateurs de SIGAINT ont été ciblés dans l’attaque, mais l’administrateur a dit l’attaquant semblait recueillir les identifiants et mots de passe des utilisateurs. Selon l’administrateur, SIGAINT envisage de transformer le chiffrement utilisé et de retirer l’URL en .onion de la page officielle de sigaint.org.

Bien que l’ajout du support SSL pour le site grand public n’empêcherait pas tout risques d’attaque futur, cela contribuerait néanmoins à augmenter la difficulté pour les attaquants. Il est bien entendu conseillé à tous les utilisateurs du service de changer leur mot de passe.

Qui est derrière l’attaque ?

L’administrateur de SIGAINT pense que “certaines agences gouvernementales” sont probablement derrière la récente attaque, étant donné le nombre de nœuds malveillants que les assaillants utilisaient ainsi que d’autres circonstances pour le moins étranges.

L’administrateur de SIGAINT explique sur MotherBoard que parmi les circonstances étranges, se trouve le fait que près d’un mois avant l’attaque, plus aucune demande d’application de la loi n’a été reçue, alors que le rythme habituel est d’une par semaine.

Bref, la personne ou l’organisme derrière cette attaque reste encore un mystère. La NSA est évidemment suspectée…

Les commentaires sont fermés.