Les trouvailles de chercheurs indiquent que de nombreux serveurs Tor sont mis en place par un même acteur. Appelé KAX17, il est soupçonné d’essayer de surveiller les utilisateurs du service de navigation anonyme.

Il semble que l’anonymat garanti par Tor dérange. Le logiciel gratuit permet de faire passer sa navigation internet par plusieurs relais pour éviter d’être surveillé, et ce afin d’accéder à n’importe quel site, dont ceux du dark web (dans une moindre mesure). Mais comme l’a repéré le média spécialisé en cybersécurité The Record le 3 décembre, des chercheurs ont identifié un acteur malveillant qui met en place une quantité importante de serveurs vérolés depuis au moins 2017.

Tor, un réseau décentralisé

Le fonctionnement de Tor est assez simple. Le logiciel permet de passer par différents serveurs qui empêchent votre fournisseur d’accès Internet (et ceux qui voudraient avoir accès à ses données, comme des États) de savoir où vous allez, et le site que vous consultez de savoir qui vous êtes (de connaitre votre adresse IP, entre autres). Comment? En passant par au moins trois serveurs à chaque fois, serveurs qui chiffrent vos données. D’où la référence à l’oignon et ses plusieurs couches, qui vous rendent en théorie intraçable.

Image d'erreur

Une navigation par Tor passe par au moins trois serveurs // Source : Tor project manual

Les milliers de serveurs de Tor sont gérés par différents acteurs. Il est d’ailleurs possible pour un tiers de mettre à disposition un serveur, en fournissant simplement une adresse mail de contact pour être joint en cas de problème, comme l’explique The Record. Mais aucune modération stricte n’est menée, entre autre pour garantir un nombre suffisant de serveurs actifs.

Jusqu’à 10 % des serveurs vérolés

Le chercheur en cybersécurité et opérateur de serveurs, caché derrière le pseudo Nusenu, explique avoir observé depuis 2019 un schéma commun à des serveurs sans information de contact, dont il a remonté la trace jusqu’à au moins 2017. Dans son billet de blog, Nusenu reste volontairement vague à propos des éléments communs à ces serveurs, se contentant de mentionner que ces derniers « faisaient des choses que le logiciel officiel de Tor ne peut pas faire ». Ce manque de précision volontaire est assez habituel venant de chercheurs dans ce genre de cas, car il vise à ne pas divulguer ce qui permet de surveiller l’attaquant (ici désigné derrière l’appellation KAX17).

D’après les éléments observés par Nusenu, KAX17 a constamment ajouté des serveurs au réseau de Tor dans des quantités très importantes, avec des localisations diverses qui témoignent de grandes capacités logistiques. Jusqu’à atteindre à son apogée environ 10 % du réseau Tor, avec plus de 900 serveurs en ligne. D’après les chiffres du chercheur, il y avait à un moment donné 16 % de probabilité qu’un utilisateur se connecte au réseau Tor par un serveur de KAX17, 35 % de passer par un relai lui appartenant, et jusqu’à 5 % de sortir à travers.

Des mesures prises par Tor, un acteur étatique suspecté

Cette précision sur la répartition des serveurs en fonction de leurs types, c’est à dire entrants, relais et sortants, n’est pas anodine. Elle indique le type d’informations qui peuvent intéresser KAX17. Nusenu explique avoir observé d’autres acteurs malveillants qui mettaient en ligne des serveurs sortants pour voler les informations de portefeuilles de cryptomonnaies d’utilisateurs et les vider, par exemple.

Les observations du chercheur montrent que KAX17 se concentraient plutôt sur les points entrants et intermédiaires. Ses conclusions sont que cet acteur essaye de capter des informations sur les utilisateurs, en essayant de comprendre leurs itinéraires de connexion. Un objectif plus proche de la surveillance que d’une recherche mercantile, plus habituelle.

Conscient de la menace, Tor a réagi, notamment suite aux dernières découvertes de Nusenu. Un développeur du projet, Georg Koppen, explique dans un message public que plus de 600 serveurs ont été exclus du réseau en novembre. Une précédente vague de nettoyage a eu lieu en octobre. Le message indique qu’aucune attaque n’a été constatée et que cette suppression a été réalisée par principe de précaution.

Le champ d’action de KAX17 et l’ampleur des moyens déployés interrogent sur ceux qui se cachent derrière lui. Comme relevé par The Record, de nombreux signes pointent vers un acteur étatique. On ne dispose pour l’instant pas de plus de précision, et les suspects potentiels ne manquent pas. La capacité du réseau Tor à contourner la censure et la surveillance irrite, régimes autoritaires comme certaines démocraties occidentales.