Des chercheurs ont découvert une centaine de nœuds sur le réseau Tor, précisément des Hidden Services Directories (HSDirs), qui espionnaient les services qu’ils hébergeaient et, dans certains cas, les opérateurs étaient activement utilisés pour utiliser les données collectées afin d’attaquer ces services. Les Hidden Services Directories sont des éléments cruciaux dans les opérations de masquage de l’adresse IP réelle de l’utilisateur sur le réseau étant donné que ce sont des serveurs qui reçoivent le trafic et redirigent les utilisateurs vers des services cachés. Il faut rappeler que Tor est un réseau constitué de nœuds et de relais qui masquent le trafic afin de rendre plus difficile encore le pistage en ligne. Un réseau qui est donc idéal pour les personnes désirant garder leur anonymat en ligne.
La découverte de ces nœuds au comportement malveillant a été faite suite à une étude conjointe du doctorant Amirali Sanatinia et de Guevara Noubir, professeur au College of Computer and Information Science à la Northeastern University. La paire de chercheurs a prévu de présenter les résultats de leurs recherches la semaine prochaine durant la conférence DEF CON. Toutefois, ils ont vaguement évoqué ce dont il est question dans leur livre blanc intitulé « HOnions: Towards Detection and Identification of Misbehaving Tor HSDirs ».
Noubir y indique notamment que « la sécurité et l’anonymat de Tor sont basés sur la supposition que la majeure partie de ses relais sont honnêtes et ne se conduisent de façon inappropriée. Le caractère privé des services cachés en particulier est tributaire des opérations honnêtes effectuées par les Hidden Services Directories (HSDirs) ».
Dans le livre blanc, l’équipe de chercheur indique avoir développé un framework qu’ils ont appelé « Honey Onion » (HOnions) qui détecte si des Hidden Services Directories sont modifiés pour afficher un comportement différent et, en parcourant les requêtes faites par ces nœuds, les chercheurs ont été en mesure d’identifier ceux qui étaient malveillants.
Les chercheurs ont lancé l’exécution de leur framework à des jours différents entre le 12 février et le 24 avril. Ils ont trouvé 110 Hidden Services Directories malveillants, la plupart d’entre eux étant localisés aux États-Unis, en Allemagne, en France, En Angleterre et aux Pays-Bas.
Selon eux, il est possible que ces nœuds aient été exploités par des chercheurs, des forces de l’ordre ou même des organismes d’État qui essayent de bloquer l’accès à des services cachés.
« À cette étape, il est difficile de dire qui fait quoi », a indiqué Noubir. « Ce que nous avons pu observer est qu’il y a une diversité dans ce qu’ils faisaient. Certains attaquaient ces services cachés tandis que d’autres collectaient des informations sur eux », a-t-il continué.
Les chercheurs ont précisé que plus de 70 % des Hidden Services Directories malveillants qu’ils ont identifiés étaient hébergés sur des infrastructures cloud, ce qui rend encore plus difficile l’identification des propriétaires.
Les HOnions mettent en lumière les relais Tor avec des capacités modifiées pour cibler les services cachés. Le Projet Tor estime qu’il y a environ 3000 Hidden Services Directories sur son réseau. Ces répertoires contiennent des informations sur le relais qui est utilisé pour atteindre un domaine en .onion tout en conservant l’anonymat de l’utilisateur. Aussi, le développeur Sebastian Hann, un des représentants du projet, voudrait mitiger la portée de ce type d’attaque : « ce que l’attaque vous permet de faire est de connaître l’existence d’un service caché ». Et de poursuivre en disant que « cela ne signifie pas que l’identité de l’opérateur est révélée ou quelque chose de catastrophique dans ce genre ».
Pour Hann, l’attaque permet essentiellement d’espionner des métadonnées d’un service caché et de dire à l’attaquant que ce service existe et quand il est disponible. « Au même titre que l’adresse de votre maison est une métadonnée, l’adresse d’un service caché en est également une », a-t-il indiqué. Selon lui, « seule la donnée est importante pour permettre au réseau Tor de connecter les utilisateurs aux services cachés et non le contraire bien entendu ».
Toutefois, suite à cette étude, Tor compte bien prendre des mesures. Hann a indiqué que le projet a l’intention « de se servir d’un protocole de chiffrement plus fort et qui ne permet pas aux serveurs Tor impliqués dans les opérations régulières du réseau de voir ne serait-ce qu’une portion de métadonnées des services cachés ».
Source : papier blanc (au format PDF), documentation sur les services cachés (Tor)
Voir aussi :
Tor Browser 6.0 : le navigateur dédié au réseau anonyme Tor se renforce sur le plan sécurité et apporte un meilleur support pour la vidéo HTML5 Sécurité : Tor défie le FBI avec un système RNG jamais implémenté sur Internet pour renforcer le chiffrement des communications à travers le réseau Le FBI conteste une décision de justice lui demandant de dévoiler le code source d'une faille de Tor exploitée pour traquer un suspect 
Envoyé par Stéphane le calme
