À la mi-mai, plusieurs nœuds Tor hébergés en France ont été saisis par les autorités. Firstheberg nous affirme avoir livré le contenu et des données de trafic de l'un d'eux, selon lui suite à une infection par WannaCrypt chez Renault.
Il y a quelques semaines, le ransomware WannaCrypt infectait plus de 200 000 PC sous Windows. Si des outils de déchiffrement ont rapidement été mis en place, il a provoqué l'ouverture d'enquêtes pour remonter jusqu'à ses responsables, notamment de l'agence européenne Europol. Le week-end de la mi-mai, le contenu de plusieurs nœuds a été saisi par les autorités françaises. Selon une liste publique, au moins six serveurs ont ainsi été réquisitionnés chez Online et OVH.
En parallèle, d'autres relais non-saisis ont été mis en pause volontairement par leurs propriétaires. Quel lien entre WannaCrypt et Tor ? Un PC infecté par le ransomware communique avec son propriétaire via le réseau « anonyme », ce qui complique grandement l'identification de la source. Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions. Un autre hébergeur nous les confirme pourtant.
Contenu et trafic récupérés
Firstheberg nous parle ainsi de la saisie du contenu d'un nœud Tor par l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC), dans le cadre d'une enquête européenne. Il s'agit d'un « guard node », c'est-à-dire d'un point d'entrée de confiance du réseau d'anonymisation.
L'ensemble des données a été réquisitionné, sous forme d'une image disque sur clé USB. « On a reçu la réquisition le samedi soir de l'attaque contre Renault, qui était clairement identifié dans l'enquête » nous déclare l'entreprise, qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste. Elle ne dit pas si la machine virtuelle en question est encore en activité.
L'ANSSI ne serait pas impliquée
Pour Jérémy Martin, le directeur technique de Firstheberg, le serveur en lui-même devrait livrer peu de secrets. Le trafic capturé serait plus utile, même s'il faudra remonter d'autres nœuds pour atteindre un éventuel serveur de contrôle.
Selon nos informations, l'ANSSI ne serait pas liée à ces saisies de nœuds Tor. S'il s'agit bien d'une enquête suite à l'attaque de Renault, elle serait hors du champ de l'agence responsable des systèmes de l'État. Contactée, l'institution s'est refusée à tout commentaire.
Commentaires (36)
#1
“qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste.”
L’hébergeur enregistre tout le trafic ? Quel genre de trafic, des métadonnées (ip/port src/dst + heure) ? C’est obligatoire pour un hébergeur ?
#2
Je présume que si il y a requête de l’autorité judiciaire pour faire une capture du traffic, on est un peu comme dans le cas d’une méga écoute téléphonique “de masse”, ce qui n’est a priori pas impossible mais pas très légal à partir du moment où elle capture plus que ce qui est ciblé (sauf si ils l’ont fait sur un range bien précis correspondant à ce que Renault utilise)
#3
Tel que je l’ai compris dans la news, non il n’enregistre pas tout le trafic, mais uniquement suite à la demande de réquisition. EDIT : j’avais mal compris la question
" /> je vois pas trop comment ils auraient pu cibler le traffic tor qui les intéressait
#4
#5
J’imagine qu’ils ont du laisser des machines discuter avec le serveur C&C dans le cas d’une capture ciblée.
#6
” sous forme d’une image disque sur clé USB.” => il n’y a presque rien sur leur disque, ou bien ils ont de grosses clefs ?
#7
Ce qui m’épate c’est que dans un autre article sur Wannacry et TOR l’un des propriétaire de noeuds saisis a bien spécifié qu’il n’y a pas de logs sur les machines… donc je ne sais pas vraiment quel type d’informations ils vont saisir (ou alors le propriétaire du noeud a-t-il configuré son système pour logger ????)
#8
une debian sans client graphique c’est un poil plus de 400Mo, le client Tor doit pas être plus gros
" />
Après si le serveur est aussi utilisé comme seedbox, faudra une grosse clé
#9
Même remarque.
Il y a dû avoir capture spécifique.
L’intervention s’est probablement passée entre la première infection et le temps que tous les PC de Renault upload leurs données.
#10
Il ne devait pas y avoir plus d’informations sur leur disque que dans l’article qui n’a aucun intérêt par rapport au précédent sur le sujet et surtout aux commentaires.
Cet hébergeur est un tout petit acteur (2000 machines) et a trouvé là un moyen de faire parler de lui en répondant à NXI. Je me demande même s’il n’y a pas violation du secret de l’instruction (ou équivalent).
#11
ben comme dit dans l’article ils ont été contacté le samedi de l’attaque et bizarrement l’usine Renaud de Douai n’est pas reparti rapidement
ça sent le : bon de Douai wannacrypt communique via TOR chez firstheberg hop on demande de loggué un moment
#12
Ce que cette enquête démontrera peut-être, c’est si oui ou non l’analyse de points d’entrée Tor représente un quelconque intérêt. Je veux dire : en principe, cela n’en a strictement aucun ; dans la pratique, il y a peut-être des configurations erronées ou autres failles que les enquêteurs pourront exploiter. Ceci dit, Tor est conçu pour résister à ce type d’analyses.
Au final, cette enquête pourra peut-être clarifier le rôle légal des noeuds Tor, et définir leur statut de sorte à faire jurisprudence. Ou pas. On verra. Pour l’instant, cela semble être un excès de zèle de la part des enquêteurs qui préfèrent trop en faire que pas assez dans une situation où Renault, fleuron de l’industrie française, et dont l’Etat est actionnaire, est impliqué. (Entre nous, Renault mériterait des poursuites pour négligence, ce serait bien qu’on applique la Hadopi à la lettre, hi hi hi.)
#13
OK mais bon, ce qu’ils espèrent récupérer dedans c’est pas le système je suppose, plutôt des logs qu’ils espèrent analyser… non ?
#14
une capture des données puis du trafic, pour éventuellement remonter la piste
Le trafic wannacry sortant de Renault pour aller vers Firstheberg pouvait aussi bien être récupéré chez Renault.
Le trafic wannacry sortant de Firstheberg vers les autres noeuds TOR… bah ca donne juste l’adresse du prochain noeud TOR.
donc bof…
#15
Il faut être vraiment inconscient pour dévoiler les détails d’une enquête en cours, juste pour faire de la pub.
#16
Normalement, il n’y en a pas, ils font ça pour faire peur au méchant, ou rassurer la population technophileMaisPasTrop
Et même si log il y a, ils ne verraient qu’une autre machine Tor en sortie, et des données chiffrées entre les deux ¯\_(ツ)_/¯
#17
Tu la vois où la négligence ciblée par HADOPI????
#18
Ben ils se sont juste fait un peu powned leur réseau parce qu’ils n’ont appliqué aucune des préconisations minimales de sécurisation d’un réseau ?
" />
#19
“Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions.”> Peut-être car ils ont reçut comme consignes de ne pas le faire. Mais ca n’excuse en rien :/
#20
Pénétration du Firewall OpenOffice ?
#21
Tout en sachant que la seule préconisation minimale de sécurisation d’un réseau faite par l’hadopi pour le moment c’est que le réseau doit être inviolable
" />.
#22
Un instantané de l’activité du système ne nécessite pas forcément de journaux d’activité, puisque c’est l’image de l’activité du système lui-même qui est récupérée.
#23
#24
Cette enquête ne serait-elle pas un prétexte pour démonter Tor qui nuit à la capacité de surveillance de l’État. #ChasseGoniometrique2.0
#25
Bonjour à tous,
Nullement pour nous l’intérêt de faire de la pub, cette actu aura probablement plutôt l’effet inverse (“hé, tu as vu ? Firstheberg répond aux réquisitions !”). C’est en réalité une obligation légale de notre métier, et j’ai trouvé intéressant de la partager à la communauté pour que vous soyez conscient de ce qu’il se passe derrière le câble réseau.
Pas de secret d’instruction dans ces informations (que j’ai validé avant rédaction), l’identité du titulaire n’est pas divulguée, et seule la méthode (connu de beaucoup car il suffit de lire la loi) a été décrite ici.
Pour confirmer, l’état, en dehors d’une affaire pour terrorisme ne peut requérir que les métas-données ciblés par la réquisition (donc l’ip publique du serveur). Les données transmises correspondent donc à l’ip source, destination, port source, port de sortie et datatime.
Si certains ont des questions sur ces procédures, n’hésitez pas !
Cordialement, Jérémy
#26
Bonjour,
sur quel(s) article(s) de loi s’appuyait la réquisition ?
De plus, vous parlez de métas-données alors que l’article indique que “L’ensemble des données a été réquisitionné, sous forme d’une image disque sur clé USB. ”
Pas tès clair tout cela.
#27
“Your traffic are belong to us”
Are ? Un jeu de mot qui m’échappe ?
#28
Voir ici la référence.
#29
Mais à quoi servent les boites noires chez les hébergeurs ? Où va notre argent ?!?
#30
Attendez de voir les résultats de l’enquête avant de faire des théories sur les pourquoi du comment et l’utilité de la réquisition. Ils n’auraient rien fait que tout le monde se serait plein. Ils cherchent des données, vous vous plaignez. Ça devient comme sur Frandroid les commentaires ici… (C’est pas un compliment)
#31
#32
#33
Merci pour ta réponse.
Il faut bien comprendre que si les autres ne communiquent pas sur le sujet, c’est qu’il y a une très bonne raison (et tu l’as évoqué toi-même : il y a risque que ça te pénalise, donc tu es conscient que cet article est dangereux pour toi). Pas étonnant que votre boîte a du mal à grossir, en plus d’avoir du mal à recruter.
Du coup, c’est quoi l’intérêt de communiquer et d’avoir le nom de votre boite dans le titre ?
Si c’est pour “sensibiliser”, il y a d’autres moyens que de mettre votre boîte en frontal :(
#34
Ah, je la connaissais pas, merci !
#35
c’est quoi l’interet de post ? complaisant, ironique avec des argument d’autorité sans sources. tu devrais lire _mieux_ sa réponse
si c’est pour “faire le malin” avec un responsable, il y a d’autre moyen de se mettre en valeur.
#36
L’intérêt de mon post ? Je suis allé voir le profil du mec, il se plaint toujours des gens, qu’il n’arrive pas à recruter, que les gros lui font du mal… Et là il avoue que cet article lui causerait préjudice car au lieu de faire la pub, ça montre aux gens qu’il refile des infos sans pb. Au bout d’un moment, quand on a du mal à faire grossir sa boite mais qu’on a du temps pour ce genre d’articles, faut se poser des questions.
Bref balaye devant ta porte et applique déjà tes propres conseils. Bisous :)