Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Quand l'oignon pleure
Internet 2 min
WannaCrypt : des nœuds Tor saisis par les autorités françaises

Entre vendredi et lundi, plusieurs relais français du réseau d'anonymisation Tor ont disparu des écrans radar. Selon nos informations, ils ont été réquisitionnés par la justice, dans le cadre de l'enquête sur le ransomware WannaCrypt, qui s'appuie sur Tor pour communiquer avec son serveur de contrôle.

Il y a du trafic qu'il ne vaut mieux pas relayer. Celui du ransomware WannaCrypt, qui a infecté plus de 200 000 appareils dans le monde en quelques jours, mettant à mal certains systèmes industriels, en fait partie. Rapidement ciblé par plusieurs enquêtes, notamment d'Europol, il est à l'origine de la réquisition de plusieurs nœuds du réseau Tor chez des hébergeurs français.

Pour mémoire, WannaCrypt s'appuie sur une faille conservée par les services de renseignement américains, pour infecter des systèmes Windows obsolètes via le protocole réseau SMBv1. Pour communiquer avec le serveur de commande et contrôle (C&C), c'est Tor qui est utilisé. Du point de vue de la victime, c'est donc le nœud d'entrée du réseau « anonyme » qui est visible.

L'OCLCTIC de bon matin

Au moins trois serveurs ont ainsi baissé le rideau ce week-end, suite à la visite de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) chez ces acteurs, saisissant le contenu de ces relais. Il s'agirait de « guard nodes », c'est-à-dire de points d'entrée de confiance pour le réseau Tor, à la fois par leur disponibilité et leur bande passante.

Selon nos informations encore, ces disparitions sont dues à « une très grande vague » de perquisitions et saisies, concernant au moins plusieurs dizaines de disques durs. « Tous les relais Tor qui ont participé à cette attaque ont été saisis » nous affirme-t-on. Les principaux hébergeurs français seraient concernés par cette salve. 

Des disparitions inexpliquées

L'intervention de l'OCLCTIC pourrait suivre une demande de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Contactée, cette dernière n'a pas encore répondu à nos sollicitations.

« On a épluché les journaux du consensus des nœuds Tor. Entre vendredi et lundi, des dizaines de gros nœuds ont disparu du réseau. Il n’y a pas de raison que de tels nœuds disparaissent comme ça » affirme par ailleurs un spécialiste de Tor, contacté par nos soins. Au moins une partie des relais ont été coupés volontairement, sans intervention des autorités.

Interrogé, OVH n'a pas répondu à nos demandes. Pour leur part, Gandi et Online se sont refusés à tout commentaire. Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

159 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 17/05/17 à 13:28:05

Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.
En même temps normal, ils sont tous à attendre la nomination du nouveau gouvernement :troll:

Avatar de skan INpactien
Avatar de skanskan- 17/05/17 à 13:28:10

Mozilla va en remettre en service rapidement?

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 17/05/17 à 13:29:04

Quand on vous sit que ce sont des criminels chez TOR... A la fois les concepteurs, les utilisateurs et ceux qui hébergent les noeuds....
Je te mettrais tout ca en prison, notre sécurité a tous en dépend.

Avatar de Carpette INpactien
Avatar de CarpetteCarpette- 17/05/17 à 13:29:19

Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l'epoque de razorback, je ne vois franchement pas l'utilite.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 17/05/17 à 13:30:14

Carpette a écrit :

Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l'epoque de razorback, je ne vois franchement pas l'utilite.

Faire croire au peuple que la situation est sous contrôle et que les autorités savent ce qu elles font ?

Avatar de aeris22 Abonné
Avatar de aeris22aeris22- 17/05/17 à 13:31:29

Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.

Avatar de lordofkill Abonné
Avatar de lordofkilllordofkill- 17/05/17 à 13:35:30

c'est ce que tous le monde pense , il y toujours des logs quelque par , 
les fai et hébergeur sont obligé de loggé les activités entré sorti , aussi sous certaine loi les logs sont obligatoire et les Os garde souvent des trace de connexion, en plus si ils font tombé les noeuds les arnaquer de wanna crypt vont se faire plus facilement repéré 
même si tor ne log rien qui dit que le host lui n'a pas un syslog de configuré pour enregistré les va et vient de la machine

Édité par lordofkill le 17/05/2017 à 13:39
Avatar de Ricard INpactien
Avatar de RicardRicard- 17/05/17 à 13:35:34

Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête
en cours. Il renvoie vers le parquet de Paris, injoignable pour le
moment.

Lequel ? Le nouveau ou l'ancien ?:francais:

Avatar de Carpette INpactien
Avatar de CarpetteCarpette- 17/05/17 à 13:36:01

aeris22 a écrit :

Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.

Donc y'a vraiment rien a chopper. A part les versions installes des differents modules mais je vois pas ce qu'on peut en tirer, d'autant qu'il s'agit certainement des dernieres.
Qu'est ce que c'est que ce foutage de gueule.

Avatar de aeris22 Abonné
Avatar de aeris22aeris22- 17/05/17 à 13:42:35

Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.
Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.

Il n'est plus possible de commenter cette actualité.
Page 1 / 16