Comment Microsoft a supprimé des clients Tor installés sous Windows

En fin d’année dernière, Microsoft a ajouté la signature d’un client Tor à la liste des logiciels malveillants à supprimer automatiquement par son outil « Malicious Software Removal Tool ». Il avait été installé par un malware.

L’été dernier, le réseau d’anonymisation des communications Tor avait connu une croissance aussi spectaculaire qu’artificielle du nombre de ses utilisateurs, qui fut attribuée au réveil d’un réseau de botnets créé grâce au cheval de Troie Sefnit. Quatre millions d’ordinateurs infectés se sont ainsi joints soudainement au réseau zombie, en attente d’instructions relayées via le réseau Tor. L’objectif était de mettre toute la puissance de ces ordinateurs à contribution pour miner des Bitcoins, et ainsi enrichir deux hackers ukrainien et israélien, Scorpion et Dekadent.

En étudiant les caractéristiques des clients Tor apparus soudainement, les développeurs ont rapidement vu qu’il s’agissait exclusivement des versions v0.2.3.25, et que le malware était destiné à Windows. Ce qui a poussé Microsoft à s’attaquer au problème.

Or, Microsoft a réussi à combattre le botnet en employant une méthode musclée, qui met en évidence les moyens d’action dont dispose la firme de Redmond. Le site Daily Dot rapporte en effet que Microsoft a pu désinstaller à distance le malware et son client Tor.

Ce sont les développeurs et activistes Roger Dingledine et Jacob Appelbaum qui ont révélé l’opération fin décembre lors du dernier Chaos Computer Congress (CCC). « Il s’agissait d’un malware destiné à Windows, et Microsoft a la possibilité de supprimer les choses qu’il identifie comme étant malveillantes« , a expliqué Appelbaum. Donc, « ils ont supprimé les clients Tor des utilisateurs de Windows qui faisaient partie de ce botnet« .

« Quand nous leur avons parlé, ce que j’ai compris c’est qu’ils ne le supprimaient que quand ils étaient certains qu’il s’agissait d’un client Tor faisant partie de ce botnet« , a-t-il raconté. Par chance, le client Tor malicieux était installé dans un dossier particulier, où aucun utilisateur n’irait l’installer naturellement.

Mais « c’est beaucoup de pouvoir dont dispose Microsoft ici« , a insisté Appelbaum. « Si vous utilisez Windows et essayez d’être anonymes, soyez prévenu : mauvaise idée« .

En effet, si Microsoft peut désactiver à distance un client Tor jugé malicieux, il pourrait théoriquement le faire dans des circonstances exceptionnelles (ou sur instruction judiciaire) pour désinstaller Tor sur des ordinateurs spécifiquement identifiés, ou sur tous les ordinateurs d’une région géographique donnée.

Sur un blog Technet, le chercheur en anti-virus de Microsoft Geoff McDonald a confirmé le 9 janvier que la firme avait agi le 27 octobre 2013 pour intégrer la signature du client Tor installé par Sefnit à la liste des malwares reconnus par les différents outils de sécurité de Windows (Microsoft Security Essentials, Windows Defender pour Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, et Windows Defender Offline).

Le 12 novembre 2013, la signature du client Tor de Sefnit a été ajoutée à l’outil de suppression de logiciels malveillants de Microsoft (Malicious Software Removal Tool), lequel est mis à jour automatiquement par Windows Update. C’est alors que l’outil a fait son travail, en supprimant le client Tor identifié comme un malware.

Selon ses estimations, il reste environ 2 millions de machines infectées, dont les propriétaires n’utilisent pas les logiciels de sécurité de Microsoft, ou n’autorisent pas la mise à jour automatique. Ce qui montre, tout de même, que l’utilisateur garde le contrôle sur son ordinateur s’il le souhaite.

https://youtube.com/watch?v=CJNxbpbHA-I%3Ffeature%3Dplayer_embedded