Les autorités françaises réquisitionnent des nœuds Tor liés au ransomware WannaCrypt

0
105

Durant ces derniers jours, l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) a saisi pas moins de 3 serveurs servant de relais Tor ayant été en relation avec le cyberattaque WannaCry.

Juste après la cyberattaque, des experts ont remarqué la disparition de plusieurs nœuds français du réseau d’anonymisation Tor. Il s’agirait en fait de saisies par les autorités du pays, suite à une enquête sur le ransomware WannaCrypt (qui est entièrement basé sur Tor pour les communications vers les serveurs C&C et pour le paiement des rançons).

En fait, c’est Europol qui a rapidement identifié les “guard nodes” du réseau Tor qui relayaient le trafic malveillant lié à WannaCry. Des réquisitions ont ensuite été faites à l’ANSSI puis aux autorités françaises pour les déconnecter. Il s’agissait de serveurs hébergés dans plusieurs datacenters FR.

A l’heure actuelle, le nombre total de perquisitions de ce type n’est pas connu mais les autorités parlent d’actions d’envergures et concernant plusieurs dizaines de serveurs. Tous les principaux hébergeurs français seraient concernés.

Des experts du réseau Tor ont clairement remarqué la brusque disparition de plusieurs importants nœuds et n’expliquent pas le but recherché lors des saisies. En effet, ces relais saisis ne comportent aucun logs ni informations exploitables. Du plus, ils ne permettent pas de remonter vers une piste puisque Tor utilise une chaîne de plusieurs relais de ce type avant de sortir. Certains spécialistes Tor évoquent même des coupures volontaires par les administrateurs et responsables de plusieurs nœuds… et certaines disparitions restent inexplicables.

 

Aucun commentaire du côté des hébergeurs ni des autorités pour le moment. L’enquête suit son cours.

 

Source : NextInpact