Le Librem 15 de Purism sera le 1e PC portable libre avec une puce Intel récente capable de démarrer sur l'OS de son choix.

L'Image du jour

Le Librem 15 de Purism sera le 1e PC portable libre avec une puce Intel récente capable de démarrer sur l'OS de son choix.

Les 10 tendances technologiques 2015

Dernier Dossier

Les 10 tendances technologiques 2015

Comme chaque année, la rédaction du Monde Informatique dresse les 10 tendances technologiques qui marqueront l'année 2015. Du machine learning à la ré...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Les botnets adoptent de plus en plus le réseau Tor

Le réseau Tor intéresse beaucoup les cybercriminels Crédit Photo: D.R

Le réseau Tor intéresse beaucoup les cybercriminels Crédit Photo: D.R

Selon des chercheurs d'ESET, de plus en plus de cybercriminels ont recours au réseau The Onion Router (Tor) favorisant l'anonymat. Mais pour l'instant, les spécialistes de la sécurité arrivent encore à les tracer.

L'entreprise de sécurité ESET a découvert que deux autres familles de botnets passaient par le réseau Tor pour garantir l'anonymat du trafic avec les serveurs de commande et de contrôle (C&C). L'utilisation de Tor par les cybercriminels est loin d'être une nouveauté, mais jusqu'à présent, le recours au système d'anonymisation était l'exception plutôt que la règle. Au début du mois, la détection par l'ESET de Win32/Atrax et Win32/Agent.PTA sur le réseau Tor montre que l'intérêt pour ce service a pris de l'ampleur. Les données recueillies par l'entreprise de sécurité semblent indiquer que la présence d'Atrax est très récente. Le recours à Tor demande une mise en oeuvre assez lourde. En effet, les cybercriminels doivent mettre en cache toutes les données des ordinateurs formant le botnet dans un serveur hébergé sur le réseau, preuve de leur forte motivation. Cependant, bien que « masqué », les chercheurs ont pu accéder au sinistre écran de connexion affichant l'araignée mortelle d'Australie, Atrax Robustus.

Page d'accueil du botnet Atrax

Page d'accueil du botnet Atrax

Agent.PTA, le second bot utilisant Tor, également découvert par l'ESET, est moins sophistiqué. En fait, il a les caractéristiques d'un ancien bot utilisé depuis peu pour tester Tor et évaluer ses avantages et ses inconvénients. L'usage de Tor peut être considéré comme une évolution naturelle pour les serveurs de C&C. L'autre alternative serait d'utiliser un serveur central conventionnel accessible via un protocole standard ou propriétaire. Mais cette solution est relativement facile à contrer comme l'ont montré de nombreuses opérations « bot roasts » menées par le FBI. D'où une tendance croissante à choisir des alternatives comme le P2P, mais qui a l'inconvénient de voir les hôtes bloqués par des pare-feu.

Un développement sous contrôle

En cela, Tor fait figure de troisième voie, puisqu'il évite les pièges du P2P en permettant aux serveurs classiques d'être visibles à travers Tor sans révéler leurs adresses IP réelles. Le trafic de Tor est également crypté et peut potentiellement échapper aux systèmes de détection des intrusions. Alors, si c'est aussi simple que cela, on se demande pourquoi les cybercriminels ne se sont pas davantage précipités vers Tor ? La réponse est que, tout comme le P2P, Tor a sa part d'incertitude et de latence. Certes, Tor est plus sûr, mais il est aussi beaucoup plus lent. Le fait que les cybercriminels se soient donnés la peine de faire passer le canal de communication C&C par Tor montrent aussi qu'ils subissent une certaine pression des activités anti-bot.

« Pendant l'été, nous avons pu voir que davantage de familles de malware s'étaient mises à utiliser des communications basées sur Tor », a déclaré Alexsander Matrosov de l'ESET. « Les botnets qui passent par Tor sont vraiment beaucoup plus difficiles à repérer et la localisation des serveurs C&C est plus compliquée. Mais la détection du botnet Win32/Atrax.A montre que les procédures d'analyse des protocoles de communication sont les mêmes et que toutes les vieilles méthodes fonctionnent aussi avec les adresses d'un réseau Tor ».

Un détournement de l'usage


En résumé, Tor permet de masquer les serveurs de C&C mais il n'est pas invulnérable à la détection et à l'analyse des chercheurs en sécurité qui peuvent faire de l'ingénierie à rebours après la détection du malware qu'ils dirigent à distance. Le jeu du chat et de la souris entre les entreprises de sécurité et les criminels reste très actif. Le botnet Skynet mis à jour en décembre dernier, utilisait aussi le réseau Tor. A l'époque, l'entreprise de sécurité Rapid7, à l'origine de la découverte, avait prédit une augmentation de l'utilisation du réseau d'anonymisation. En septembre dernier, l'entreprise de sécurité G Data avait révélé l'existence d'un serveur de chat IRC caché à l'intérieur de Tor.

A l'origine, le réseau Tor avait été conçu comme un service d'anonymat au service des lanceurs d'alerte et des militants vivant dans des pays totalitaires. Son usage est régulièrement détourné. Mais malgré sa récente adoption par des cybercriminels, il reste un canal important pour se protéger contre les systèmes de surveillance sur Internet.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité