Advertisement
Créé par des chercheurs israéliens, le malware Fansmitter exploite les ondes sonores du ventilateur d'un PC pour transférer des données.

L'Image du jour

Créé par des chercheurs israéliens, le malware Fansmitter exploite les ondes sonores du ventilateur d'un PC pour transférer des données.

French Tech : Effet pschitt ou vrai accélérateur

Dernier Dossier

French Tech : Effet pschitt ou vrai accélérateur

De la French Touch à la French Tech, c'est le message que Bpifrance a souhaité faire passer aux 30 000 visiteurs (startups, entrepreneurs, PME, ETI, g...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Le réseau Tor inflitré par un botnet

Crédit Photo: D.R

Crédit Photo: D.R

Des spécialistes de la sécurité ont trouvé des traces d'un botnet sur le réseau Tor. Ce dernier, conçu, pour préserver l'anonymat, suscite des interrogations sur sa fiabilité.

Des chercheurs en sécurité travaillant pour l'éditeur d'antivirus allemand G Data Software ont identifié un réseau de zombies contrôlé depuis un serveur IRC (Internet Relay Chat) qui tourne incognito à l'intérieur du réseau Tor. Selon les chercheurs, « cette stratégie choisie par les attaquants et opérateurs du botnet présente plusieurs avantages, mais aussi certains inconvénients », comme ils l'ont écrit dans un blog. Pour ce qui est des avantages, le serveur de commande et de contrôle peut difficilement être bloqué par des chercheurs ou des autorités, car il n'est pas facile de déterminer sa position réelle.

En effet, le système Tor a été spécialement conçu pour assurer l'anonymat de ses utilisateurs. Lorsque l'on utilise ce réseau pour accéder aux ressources de l'Internet, les requêtes envoyées depuis l'ordinateur d'un utilisateur sont acheminées au hasard à travers une série de noeuds du réseau constitué volontairement par les autres utilisateurs de Tor. Par ailleurs, les connexions entre les utilisateurs et les noeuds Tor sont cryptées selon un mode multi-couches. Si bien que les systèmes de surveillance qui travaillent au niveau du réseau local ou au niveau du FAI ont beaucoup de difficultés pour savoir vers quelle destination se dirigent les requêtes d'un utilisateur.

« L'autre avantage de Tor pour contrôler des ordinateurs infectés par des programmes malveillants, c' est que le trafic ne peut pas être facilement bloqué par les systèmes de détection des intrusions », ont encore expliqué les chercheurs de G Data Software. Ces systèmes de détection utilisent en général des signatures pour identifier le trafic généré par des ordinateurs infectés et présents sur le réseau. Or, ces signatures cherchent souvent la destination du trafic ou son contenu réel. Et dans la mesure où le trafic de Tor ne pointe pas directement vers des destinations pouvant être identifiées comme malveillantes et qu'en plus son contenu est crypté, il est difficile de le marquer comme suspect.

Le risque de dévoiement du réseau Tor

Le botnet découvert par les chercheurs de G Data Software utilise un serveur IRC (Internet Relay Chat) qui fonctionne comme une sorte de « service caché » à l'intérieur du réseau Tor. Le protocole de service caché ou Hidden Service Protocol de Tor permet aux gens de faire tourner différents types de services à l'intérieur du réseau, comme des sites web ou des serveurs de messagerie instantanée. Ceux-ci ne sont accessibles que de l'intérieur du réseau Tor, via une adresse .onion et non une adresse IP réelle, ce qui les rend anonymes. Si le réseau Tor a été conçu légalement avec l'idée de protéger la vie privée des utilisateurs contre la surveillance au niveau du réseau, son usage peut être détourné et permettre des abus. Dans le passé par exemple, la fonction de service caché du réseau Tor a été utilisée pour accueillir un marché de drogues illicites en ligne.

Ce n'est pas la première fois que la question de l'hébergement de serveurs de commande et de contrôle sur le réseau Tor est évoquée. En 2010 déjà, Dennis Brown, ingénieur en sécurité chez Tenable Network Security, avait parlé des avantages et des inconvénients de cette approche au cours de la conférence Defcon 18 sur la sécurité. Les chercheurs de G Data Software font aujourd'hui remarquer « que les logiciels malveillants qui passent par le protocole de service caché subissent les latences du réseau Tor ». En d'autres termes ils estiment que, « Tor est lent et peu fiable, et que ses défauts se répercutent aux réseaux de zombies sous-jacents ».

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

35 ans
13 Avril 2001 n°891
Publicité
Publicité
Publicité