Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Comment des cybercriminels ont manipulé le réseau Tor pour détourner des cryptomonnaies

Tor a un problème récurrent dont il peine à se débarrasser. Depuis 16 mois, des malfaiteurs ajoutent des centaines de serveurs malveillants à son réseau. L'organisation a beau les retirer à intervalles réguliers, les malfrats parviennent toujours à en ajouter de nouveaux. Leur objectif ? Détourner les transactions en cryptomonnaie des utilisateurs de Tor. Cette activité cybercriminelle est surveillée depuis août 2020 par le chercheur nusenu, avec qui The Record Media s'est entretenu.

Si vous n'êtes pas familier avec Tor, ce réseau permet à ses utilisateurs de naviguer sur internet avec un très haut niveau d'anonymat. En résumé, il fait passer la connexion de l'utilisateur par au moins trois serveurs, chacun tenu par des organisations ou particuliers bénévoles. Et ce n'est pas tout : chaque serveur ne connaît que l'adresse du serveur précédent. Résultat : si un site veut savoir d'où vient votre connexion, il verra simplement l'adresse du nœud de sortie de Tor, le dernier serveur de la chaîne et seule face du réseau Tor visible à l'internet public. Ainsi, il ne pourra pas remonter jusqu'à vous.

Le degré d'anonymat élevé qu'offre Tor justifie son utilisation par toutes sortes de personnes qui veulent échapper aux contrôles sur internet, qu'ils soient activistes, journalistes, cybercriminels ou simplement soucieux du sujet.

N'importe qui peut monter un serveur Tor, à condition de remplir certains critères techniques, et le projet Tor prévient des risques légaux auxquels s'exposent les bénévoles. Mais l'équipe du  Nusenu affirme qu'en février 2021, pas moins de 27 % des nœuds de sorties Tor étaient contrôlés par les malfrats. Et même après un grand nettoyage des serveurs malveillants par l'équipe du réseau, les malfrats en contrôlaient encore 5 à 6% d'après le chercheur.

La manipulation est loin d'être évidente à mettre en place : les bénévoles de Tor mettent régulièrement hors ligne les serveurs malveillants, et ils peuvent détecter un ajout massif de serveurs, qui serait forcément suspect. Les cybercriminels ont donc probablement ajouté progressivement leurs serveurs pour passer sous le radar.

Les cybercriminels font sauter la sécurité de la connexion aux sites

Puisqu'ils contrôlent le nœud de sortie Tor, les cybercriminels peuvent intercepter le trafic. Sauf que dans la grande majorité des cas, la connexion aux sites est chiffrée en HTTPS, et ils ne peuvent donc pas lire son contenu. C'est pourquoi ils utilisent une « SSL stripping attack », une manipulation qui consiste à forcer l'internaute à se connecter à une version HTTP (non chiffrée) de son site de destination. S'il ne s'en rend pas compte, alors les cybercriminels pourront l'espionner, mais aussi modifier les échanges avec le site. Par exemple, ils pourront remplacer l'adresse du portefeuille de destination d'une transaction par celle d'un portefeuille en leur possession.

Le groupe de malfrats vise exclusivement le trafic vers les sites liés aux cryptomonnaies, et c'est ce qui lui permet de ne pas immédiatement faire détecter ses serveurs. Tor a conscience du problème, et réfléchit à désactiver la navigation sur les sites HTTP. Aujourd'hui, plus de 90 % des sites sont accessibles en HTTPS, notamment car il est possible d'obtenir des certificats gratuitement grâce à l'initiative militante Let's Encrypt.

En attendant cette éventuelle modification de la navigation sur Tor, charge aux utilisateurs de contrôler qu'ils accèdent bien aux versions HTTPS des sites qu'ils visitent.