Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

WannaCrypt : un nœud Tor saisi chez Firstheberg

Your traffic are belong to us
Internet 2 min
WannaCrypt : un nœud Tor saisi chez Firstheberg
Crédits : kynny/iStock

À la mi-mai, plusieurs nœuds Tor hébergés en France ont été saisis par les autorités. Firstheberg nous affirme avoir livré le contenu et des données de trafic de l'un d'eux, selon lui suite à une infection par WannaCrypt chez Renault.

Il y a quelques semaines, le ransomware WannaCrypt infectait plus de 200 000 PC sous Windows. Si des outils de déchiffrement ont rapidement été mis en place, il a provoqué l'ouverture d'enquêtes pour remonter jusqu'à ses responsables, notamment de l'agence européenne Europol. Le week-end de la mi-mai, le contenu de plusieurs nœuds a été saisi par les autorités françaises. Selon une liste publique, au moins six serveurs ont ainsi été réquisitionnés chez Online et OVH.

En parallèle, d'autres relais non-saisis ont été mis en pause volontairement par leurs propriétaires. Quel lien entre WannaCrypt et Tor ? Un PC infecté par le ransomware communique avec son propriétaire via le réseau « anonyme », ce qui complique grandement l'identification de la source. Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions. Un autre hébergeur nous les confirme pourtant.

Contenu et trafic récupérés

Firstheberg nous parle ainsi de la saisie du contenu d'un nœud Tor par l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC), dans le cadre d'une enquête européenne. Il s'agit d'un « guard node », c'est-à-dire d'un point d'entrée de confiance du réseau d'anonymisation.

L'ensemble des données a été réquisitionné, sous forme d'une image disque sur clé USB.  « On a reçu la réquisition le samedi soir de l'attaque contre Renault, qui était clairement identifié dans l'enquête » nous déclare l'entreprise, qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste. Elle ne dit pas si la machine virtuelle en question est encore en activité.

L'ANSSI ne serait pas impliquée

Pour Jérémy Martin, le directeur technique de Firstheberg, le serveur en lui-même devrait livrer peu de secrets. Le trafic capturé serait plus utile, même s'il faudra remonter d'autres nœuds pour atteindre un éventuel serveur de contrôle.

Selon nos informations, l'ANSSI ne serait pas liée à ces saisies de nœuds Tor. S'il s'agit bien d'une enquête suite à l'attaque de Renault, elle serait hors du champ de l'agence responsable des systèmes de l'État. Contactée, l'institution s'est refusée à tout commentaire.

36 commentaires
Avatar de toune INpactien
Avatar de tounetoune- 29/05/17 à 13:09:16

"qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste."
 L'hébergeur enregistre tout le trafic ? Quel genre de trafic, des métadonnées (ip/port src/dst + heure) ? C'est obligatoire pour un hébergeur ?

Édité par toune le 29/05/2017 à 13:09
Avatar de LostSoul Abonné
Avatar de LostSoulLostSoul- 29/05/17 à 13:13:31

Je présume que si il y a requête de l'autorité judiciaire pour faire une capture du traffic, on est un peu comme dans le cas d'une méga écoute téléphonique "de masse", ce qui n'est a priori pas impossible mais pas très légal à partir du moment où elle capture plus que ce qui est ciblé (sauf si ils l'ont fait sur un range bien précis correspondant à ce que Renault utilise)

Avatar de Network_23 INpactien
Avatar de Network_23Network_23- 29/05/17 à 13:14:17

Tel que je l'ai compris dans la news, non il n'enregistre pas tout le trafic, mais uniquement suite à la demande de réquisition. EDIT : j'avais mal compris la question :D je vois pas trop comment ils auraient pu cibler le traffic tor qui les intéressait

Édité par Network_23 le 29/05/2017 à 13:16
Avatar de toune INpactien
Avatar de tounetoune- 29/05/17 à 13:15:42

LostSoul a écrit :

Je présume que si il y a requête de l'autorité judiciaire pour faire une capture du traffic, on est un peu comme dans le cas d'une méga écoute téléphonique "de masse", ce qui n'est a priori pas impossible mais pas très légal à partir du moment où elle capture plus que ce qui est ciblé (sauf si ils l'ont fait sur un range bien précis correspondant à ce que Renault utilise)

Oui mais une capture de trafic est inutile après que le mal soit fait non ? J'ai du mal à comprendre.

Avatar de Network_23 INpactien
Avatar de Network_23Network_23- 29/05/17 à 13:18:53

J'imagine qu'ils ont du laisser des machines discuter avec le serveur C&C dans le cas d'une capture ciblée.

Avatar de Constance INpactien
Avatar de ConstanceConstance- 29/05/17 à 13:26:27

" sous forme d'une image disque sur clé USB." => il n'y a presque rien sur leur disque, ou bien ils ont de grosses clefs ?

Avatar de Lodd INpactien
Avatar de LoddLodd- 29/05/17 à 13:30:32

Ce qui m'épate c'est que dans un autre article sur Wannacry et TOR l'un des propriétaire de noeuds saisis a bien spécifié qu'il n'y a pas de logs sur les machines... donc je ne sais pas vraiment quel type d'informations ils vont saisir (ou alors le propriétaire du noeud a-t-il configuré son système pour logger ????)

Avatar de atchisson Abonné
Avatar de atchissonatchisson- 29/05/17 à 13:31:59

une debian sans client graphique c'est un poil plus de 400Mo, le client Tor doit pas être plus gros

Après si le serveur est aussi utilisé comme seedbox, faudra une grosse clé :dd:

Avatar de skan INpactien
Avatar de skanskan- 29/05/17 à 13:34:23

Même remarque.

Il y a dû avoir capture spécifique.
L'intervention s'est probablement passée entre la première infection et le temps que tous les PC de Renault upload leurs données.

Avatar de fred42 INpactien
Avatar de fred42fred42- 29/05/17 à 13:37:17

Il ne devait pas y avoir plus d'informations sur leur disque que dans l'article qui n'a aucun intérêt par rapport au précédent sur le sujet et surtout aux commentaires.

Cet hébergeur est un tout petit acteur (2000 machines) et a trouvé là un moyen de faire parler de lui en répondant à NXI. Je me demande même s'il n'y a pas violation du secret de l'instruction (ou équivalent).

Il n'est plus possible de commenter cette actualité.
Page 1 / 4