Des chercheurs en sécurité travaillant pour l'éditeur d'antivirus allemand G Data Software ont identifié un réseau de zombies contrôlé depuis un serveur IRC (Internet Relay Chat) qui tourne incognito à l'intérieur du réseau Tor. Selon les chercheurs, « cette stratégie choisie par les attaquants et opérateurs du botnet présente plusieurs avantages, mais aussi certains inconvénients », comme ils l'ont écrit dans un blog. Pour ce qui est des avantages, le serveur de commande et de contrôle peut difficilement être bloqué par des chercheurs ou des autorités, car il n'est pas facile de déterminer sa position réelle.

En effet, le système Tor a été spécialement conçu pour assurer l'anonymat de ses utilisateurs. Lorsque l'on utilise ce réseau pour accéder aux ressources de l'Internet, les requêtes envoyées depuis l'ordinateur d'un utilisateur sont acheminées au hasard à travers une série de noeuds du réseau constitué volontairement par les autres utilisateurs de Tor. Par ailleurs, les connexions entre les utilisateurs et les noeuds Tor sont cryptées selon un mode multi-couches. Si bien que les systèmes de surveillance qui travaillent au niveau du réseau local ou au niveau du FAI ont beaucoup de difficultés pour savoir vers quelle destination se dirigent les requêtes d'un utilisateur.

« L'autre avantage de Tor pour contrôler des ordinateurs infectés par des programmes malveillants, c' est que le trafic ne peut pas être facilement bloqué par les systèmes de détection des intrusions », ont encore expliqué les chercheurs de G Data Software. Ces systèmes de détection utilisent en général des signatures pour identifier le trafic généré par des ordinateurs infectés et présents sur le réseau. Or, ces signatures cherchent souvent la destination du trafic ou son contenu réel. Et dans la mesure où le trafic de Tor ne pointe pas directement vers des destinations pouvant être identifiées comme malveillantes et qu'en plus son contenu est crypté, il est difficile de le marquer comme suspect.

Le risque de dévoiement du réseau Tor

Le botnet découvert par les chercheurs de G Data Software utilise un serveur IRC (Internet Relay Chat) qui fonctionne comme une sorte de « service caché » à l'intérieur du réseau Tor. Le protocole de service caché ou Hidden Service Protocol de Tor permet aux gens de faire tourner différents types de services à l'intérieur du réseau, comme des sites web ou des serveurs de messagerie instantanée. Ceux-ci ne sont accessibles que de l'intérieur du réseau Tor, via une adresse .onion et non une adresse IP réelle, ce qui les rend anonymes. Si le réseau Tor a été conçu légalement avec l'idée de protéger la vie privée des utilisateurs contre la surveillance au niveau du réseau, son usage peut être détourné et permettre des abus. Dans le passé par exemple, la fonction de service caché du réseau Tor a été utilisée pour accueillir un marché de drogues illicites en ligne.

Ce n'est pas la première fois que la question de l'hébergement de serveurs de commande et de contrôle sur le réseau Tor est évoquée. En 2010 déjà, Dennis Brown, ingénieur en sécurité chez Tenable Network Security, avait parlé des avantages et des inconvénients de cette approche au cours de la conférence Defcon 18 sur la sécurité. Les chercheurs de G Data Software font aujourd'hui remarquer « que les logiciels malveillants qui passent par le protocole de service caché subissent les latences du réseau Tor ». En d'autres termes ils estiment que, « Tor est lent et peu fiable, et que ses défauts se répercutent aux réseaux de zombies sous-jacents ».