WannaCrypt : un nœud Tor saisi chez Firstheberg
Your traffic are belong to us
Le 29 mai 2017 à 13h00
3 min
Internet
Internet
À la mi-mai, plusieurs nœuds Tor hébergés en France ont été saisis par les autorités. Firstheberg nous affirme avoir livré le contenu et des données de trafic de l'un d'eux, selon lui suite à une infection par WannaCrypt chez Renault.
Il y a quelques semaines, le ransomware WannaCrypt infectait plus de 200 000 PC sous Windows. Si des outils de déchiffrement ont rapidement été mis en place, il a provoqué l'ouverture d'enquêtes pour remonter jusqu'à ses responsables, notamment de l'agence européenne Europol. Le week-end de la mi-mai, le contenu de plusieurs nœuds a été saisi par les autorités françaises. Selon une liste publique, au moins six serveurs ont ainsi été réquisitionnés chez Online et OVH.
En parallèle, d'autres relais non-saisis ont été mis en pause volontairement par leurs propriétaires. Quel lien entre WannaCrypt et Tor ? Un PC infecté par le ransomware communique avec son propriétaire via le réseau « anonyme », ce qui complique grandement l'identification de la source. Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions. Un autre hébergeur nous les confirme pourtant.
Contenu et trafic récupérés
Firstheberg nous parle ainsi de la saisie du contenu d'un nœud Tor par l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC), dans le cadre d'une enquête européenne. Il s'agit d'un « guard node », c'est-à-dire d'un point d'entrée de confiance du réseau d'anonymisation.
L'ensemble des données a été réquisitionné, sous forme d'une image disque sur clé USB. « On a reçu la réquisition le samedi soir de l'attaque contre Renault, qui était clairement identifié dans l'enquête » nous déclare l'entreprise, qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste. Elle ne dit pas si la machine virtuelle en question est encore en activité.
L'ANSSI ne serait pas impliquée
Pour Jérémy Martin, le directeur technique de Firstheberg, le serveur en lui-même devrait livrer peu de secrets. Le trafic capturé serait plus utile, même s'il faudra remonter d'autres nœuds pour atteindre un éventuel serveur de contrôle.
Selon nos informations, l'ANSSI ne serait pas liée à ces saisies de nœuds Tor. S'il s'agit bien d'une enquête suite à l'attaque de Renault, elle serait hors du champ de l'agence responsable des systèmes de l'État. Contactée, l'institution s'est refusée à tout commentaire.
WannaCrypt : un nœud Tor saisi chez Firstheberg
-
Contenu et trafic récupérés
-
L'ANSSI ne serait pas impliquée
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/05/2017 à 13h09
“qui a procédé à une capture des données puis du trafic, pour éventuellement remonter la piste.”
L’hébergeur enregistre tout le trafic ? Quel genre de trafic, des métadonnées (ip/port src/dst + heure) ? C’est obligatoire pour un hébergeur ?
Le 29/05/2017 à 13h13
Je présume que si il y a requête de l’autorité judiciaire pour faire une capture du traffic, on est un peu comme dans le cas d’une méga écoute téléphonique “de masse”, ce qui n’est a priori pas impossible mais pas très légal à partir du moment où elle capture plus que ce qui est ciblé (sauf si ils l’ont fait sur un range bien précis correspondant à ce que Renault utilise)
Le 29/05/2017 à 13h14
Tel que je l’ai compris dans la news, non il n’enregistre pas tout le trafic, mais uniquement suite à la demande de réquisition. EDIT : j’avais mal compris la question
" /> je vois pas trop comment ils auraient pu cibler le traffic tor qui les intéressait
Le 29/05/2017 à 13h15
Le 29/05/2017 à 13h18
J’imagine qu’ils ont du laisser des machines discuter avec le serveur C&C dans le cas d’une capture ciblée.
Le 29/05/2017 à 13h26
” sous forme d’une image disque sur clé USB.” => il n’y a presque rien sur leur disque, ou bien ils ont de grosses clefs ?
Le 29/05/2017 à 13h30
Ce qui m’épate c’est que dans un autre article sur Wannacry et TOR l’un des propriétaire de noeuds saisis a bien spécifié qu’il n’y a pas de logs sur les machines… donc je ne sais pas vraiment quel type d’informations ils vont saisir (ou alors le propriétaire du noeud a-t-il configuré son système pour logger ????)
Le 29/05/2017 à 13h31
une debian sans client graphique c’est un poil plus de 400Mo, le client Tor doit pas être plus gros
" />
Après si le serveur est aussi utilisé comme seedbox, faudra une grosse clé
Le 29/05/2017 à 13h34
Même remarque.
Il y a dû avoir capture spécifique.
L’intervention s’est probablement passée entre la première infection et le temps que tous les PC de Renault upload leurs données.
Le 29/05/2017 à 19h11
Bonjour,
sur quel(s) article(s) de loi s’appuyait la réquisition ?
De plus, vous parlez de métas-données alors que l’article indique que “L’ensemble des données a été réquisitionné, sous forme d’une image disque sur clé USB. ”
Pas tès clair tout cela.
Le 29/05/2017 à 20h41
“Your traffic are belong to us”
Are ? Un jeu de mot qui m’échappe ?
Le 29/05/2017 à 20h59
Voir ici la référence.
Le 30/05/2017 à 05h51
Mais à quoi servent les boites noires chez les hébergeurs ? Où va notre argent ?!?
Le 30/05/2017 à 06h45
Attendez de voir les résultats de l’enquête avant de faire des théories sur les pourquoi du comment et l’utilité de la réquisition. Ils n’auraient rien fait que tout le monde se serait plein. Ils cherchent des données, vous vous plaignez. Ça devient comme sur Frandroid les commentaires ici… (C’est pas un compliment)
Le 30/05/2017 à 07h20
Le 30/05/2017 à 07h55
Le 30/05/2017 à 08h03
Merci pour ta réponse.
Il faut bien comprendre que si les autres ne communiquent pas sur le sujet, c’est qu’il y a une très bonne raison (et tu l’as évoqué toi-même : il y a risque que ça te pénalise, donc tu es conscient que cet article est dangereux pour toi). Pas étonnant que votre boîte a du mal à grossir, en plus d’avoir du mal à recruter.
Du coup, c’est quoi l’intérêt de communiquer et d’avoir le nom de votre boite dans le titre ?
Si c’est pour “sensibiliser”, il y a d’autres moyens que de mettre votre boîte en frontal :(
Le 31/05/2017 à 08h34
Ah, je la connaissais pas, merci !
Le 02/06/2017 à 05h25
c’est quoi l’interet de post ? complaisant, ironique avec des argument d’autorité sans sources. tu devrais lire _mieux_ sa réponse
si c’est pour “faire le malin” avec un responsable, il y a d’autre moyen de se mettre en valeur.
Le 02/06/2017 à 07h04
L’intérêt de mon post ? Je suis allé voir le profil du mec, il se plaint toujours des gens, qu’il n’arrive pas à recruter, que les gros lui font du mal… Et là il avoue que cet article lui causerait préjudice car au lieu de faire la pub, ça montre aux gens qu’il refile des infos sans pb. Au bout d’un moment, quand on a du mal à faire grossir sa boite mais qu’on a du temps pour ce genre d’articles, faut se poser des questions.
Bref balaye devant ta porte et applique déjà tes propres conseils. Bisous :)
Le 29/05/2017 à 13h37
Il ne devait pas y avoir plus d’informations sur leur disque que dans l’article qui n’a aucun intérêt par rapport au précédent sur le sujet et surtout aux commentaires.
Cet hébergeur est un tout petit acteur (2000 machines) et a trouvé là un moyen de faire parler de lui en répondant à NXI. Je me demande même s’il n’y a pas violation du secret de l’instruction (ou équivalent).
Le 29/05/2017 à 13h40
ben comme dit dans l’article ils ont été contacté le samedi de l’attaque et bizarrement l’usine Renaud de Douai n’est pas reparti rapidement
ça sent le : bon de Douai wannacrypt communique via TOR chez firstheberg hop on demande de loggué un moment
Le 29/05/2017 à 13h49
Ce que cette enquête démontrera peut-être, c’est si oui ou non l’analyse de points d’entrée Tor représente un quelconque intérêt. Je veux dire : en principe, cela n’en a strictement aucun ; dans la pratique, il y a peut-être des configurations erronées ou autres failles que les enquêteurs pourront exploiter. Ceci dit, Tor est conçu pour résister à ce type d’analyses.
Au final, cette enquête pourra peut-être clarifier le rôle légal des noeuds Tor, et définir leur statut de sorte à faire jurisprudence. Ou pas. On verra. Pour l’instant, cela semble être un excès de zèle de la part des enquêteurs qui préfèrent trop en faire que pas assez dans une situation où Renault, fleuron de l’industrie française, et dont l’Etat est actionnaire, est impliqué. (Entre nous, Renault mériterait des poursuites pour négligence, ce serait bien qu’on applique la Hadopi à la lettre, hi hi hi.)
Le 29/05/2017 à 14h12
OK mais bon, ce qu’ils espèrent récupérer dedans c’est pas le système je suppose, plutôt des logs qu’ils espèrent analyser… non ?
Le 29/05/2017 à 14h19
une capture des données puis du trafic, pour éventuellement remonter la piste
Le trafic wannacry sortant de Renault pour aller vers Firstheberg pouvait aussi bien être récupéré chez Renault.
Le trafic wannacry sortant de Firstheberg vers les autres noeuds TOR… bah ca donne juste l’adresse du prochain noeud TOR.
donc bof…
Le 29/05/2017 à 14h25
Il faut être vraiment inconscient pour dévoiler les détails d’une enquête en cours, juste pour faire de la pub.
Le 29/05/2017 à 14h43
Normalement, il n’y en a pas, ils font ça pour faire peur au méchant, ou rassurer la population technophileMaisPasTrop
Et même si log il y a, ils ne verraient qu’une autre machine Tor en sortie, et des données chiffrées entre les deux ¯\_(ツ)_/¯
Le 29/05/2017 à 14h43
Tu la vois où la négligence ciblée par HADOPI????
Le 29/05/2017 à 14h44
Ben ils se sont juste fait un peu powned leur réseau parce qu’ils n’ont appliqué aucune des préconisations minimales de sécurisation d’un réseau ?
" />
Le 29/05/2017 à 14h44
“Contactés, Gandi, Online et OVH avaient refusé de confirmer des réquisitions.”> Peut-être car ils ont reçut comme consignes de ne pas le faire. Mais ca n’excuse en rien :/
Le 29/05/2017 à 14h45
Pénétration du Firewall OpenOffice ?
Le 29/05/2017 à 16h40
Tout en sachant que la seule préconisation minimale de sécurisation d’un réseau faite par l’hadopi pour le moment c’est que le réseau doit être inviolable
" />.
Le 29/05/2017 à 16h45
Un instantané de l’activité du système ne nécessite pas forcément de journaux d’activité, puisque c’est l’image de l’activité du système lui-même qui est récupérée.
Le 29/05/2017 à 16h48
Le 29/05/2017 à 18h07
Cette enquête ne serait-elle pas un prétexte pour démonter Tor qui nuit à la capacité de surveillance de l’État. #ChasseGoniometrique2.0
Le 29/05/2017 à 18h21
Bonjour à tous,
Nullement pour nous l’intérêt de faire de la pub, cette actu aura probablement plutôt l’effet inverse (“hé, tu as vu ? Firstheberg répond aux réquisitions !”). C’est en réalité une obligation légale de notre métier, et j’ai trouvé intéressant de la partager à la communauté pour que vous soyez conscient de ce qu’il se passe derrière le câble réseau.
Pas de secret d’instruction dans ces informations (que j’ai validé avant rédaction), l’identité du titulaire n’est pas divulguée, et seule la méthode (connu de beaucoup car il suffit de lire la loi) a été décrite ici.
Pour confirmer, l’état, en dehors d’une affaire pour terrorisme ne peut requérir que les métas-données ciblés par la réquisition (donc l’ip publique du serveur). Les données transmises correspondent donc à l’ip source, destination, port source, port de sortie et datatime.
Si certains ont des questions sur ces procédures, n’hésitez pas !
Cordialement, Jérémy