À la mi-mai, plusieurs nœuds Tor hébergés en France ont été saisis par les autorités. Firstheberg nous affirme avoir livré le contenu et des données de trafic de l'un d'eux, selon lui suite à une infection par WannaCrypt chez Renault.
Il y a quelques semaines, le ransomware WannaCrypt infectait plus de 200 000 PC sous Windows. Si des outils de déchiffrement ont rapidement été mis en place, il a provoqué l'ouverture d'enquêtes pour remonter jusqu'à ses responsables, notamment de l'agence européenne Europol. Le week-end de la mi-mai, le contenu de plusieurs nœuds a été saisi par les autorités françaises. Selon une liste publique, au moins six serveurs ont ainsi été réquisitionnés chez Online et OVH.
En parallèle, d'autres relais non-saisis ont été mis en pause volontairement par leurs propriétaires. Quel lien entre WannaCrypt et Tor ? Un PC infecté par le ransomware communique avec son propriétaire via le réseau « anonyme », ce qui complique grandement l'identification de la source. Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions. Un autre hébergeur nous les confirme pourtant.
Contenu et trafic récupérés
Firstheberg nous parle ainsi de la saisie du contenu d'un nœud Tor par l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC), dans le cadre d'une enquête européenne. Il s'agit d'un « guard node », c'est-à-dire d'un point d'entrée de confiance du réseau d'anonymisation.
L'ensemble des données a été réquisitionné, sous forme d'une image disque sur clé USB. « On a reçu la réquisition le samedi soir de l'attaque contre Renault, qui était clairement identifié dans l'enquête » nous déclare l'entreprise, qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste. Elle ne dit pas si la machine virtuelle en question est encore en activité.
L'ANSSI ne serait pas impliquée
Pour Jérémy Martin, le directeur technique de Firstheberg, le serveur en lui-même devrait livrer peu de secrets. Le trafic capturé serait plus utile, même s'il faudra remonter d'autres nœuds pour atteindre un éventuel serveur de contrôle.
Selon nos informations, l'ANSSI ne serait pas liée à ces saisies de nœuds Tor. S'il s'agit bien d'une enquête suite à l'attaque de Renault, elle serait hors du champ de l'agence responsable des systèmes de l'État. Contactée, l'institution s'est refusée à tout commentaire.
