Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Quand l'oignon pleure

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Le 17 mai 2017 à 13h24

Entre vendredi et lundi, plusieurs relais français du réseau d'anonymisation Tor ont disparu des écrans radar. Selon nos informations, ils ont été réquisitionnés par la justice, dans le cadre de l'enquête sur le ransomware WannaCrypt, qui s'appuie sur Tor pour communiquer avec son serveur de contrôle.

Il y a du trafic qu'il ne vaut mieux pas relayer. Celui du ransomware WannaCrypt, qui a infecté plus de 200 000 appareils dans le monde en quelques jours, mettant à mal certains systèmes industriels, en fait partie. Rapidement ciblé par plusieurs enquêtes, notamment d'Europol, il est à l'origine de la réquisition de plusieurs nœuds du réseau Tor chez des hébergeurs français.

Pour mémoire, WannaCrypt s'appuie sur une faille conservée par les services de renseignement américains, pour infecter des systèmes Windows obsolètes via le protocole réseau SMBv1. Pour communiquer avec le serveur de commande et contrôle (C&C), c'est Tor qui est utilisé. Du point de vue de la victime, c'est donc le nœud d'entrée du réseau « anonyme » qui est visible.

L'OCLCTIC de bon matin

Au moins trois serveurs ont ainsi baissé le rideau ce week-end, suite à la visite de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) chez ces acteurs, saisissant le contenu de ces relais. Il s'agirait de « guard nodes », c'est-à-dire de points d'entrée de confiance pour le réseau Tor, à la fois par leur disponibilité et leur bande passante.

Selon nos informations encore, ces disparitions sont dues à « une très grande vague » de perquisitions et saisies, concernant au moins plusieurs dizaines de disques durs. « Tous les relais Tor qui ont participé à cette attaque ont été saisis » nous affirme-t-on. Les principaux hébergeurs français seraient concernés par cette salve. 

Des disparitions inexpliquées

L'intervention de l'OCLCTIC pourrait suivre une demande de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Contactée, cette dernière n'a pas encore répondu à nos sollicitations.

« On a épluché les journaux du consensus des nœuds Tor. Entre vendredi et lundi, des dizaines de gros nœuds ont disparu du réseau. Il n’y a pas de raison que de tels nœuds disparaissent comme ça » affirme par ailleurs un spécialiste de Tor, contacté par nos soins. Au moins une partie des relais ont été coupés volontairement, sans intervention des autorités.

Interrogé, OVH n'a pas répondu à nos demandes. Pour leur part, Gandi et Online se sont refusés à tout commentaire. Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

Commentaires (159)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Enfin, le ministère de l’Intérieur refuse de s’exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

En même temps normal, ils sont tous à attendre la nomination du nouveau gouvernement&nbsp;<img data-src=" />

votre avatar

Mozilla va en remettre en service rapidement?

votre avatar

Quand on vous sit que ce sont des criminels chez TOR… A la fois les concepteurs, les utilisateurs et ceux qui hébergent les noeuds….

Je te mettrais tout ca en prison, notre sécurité a tous en dépend.

votre avatar

Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l’epoque de razorback, je ne vois franchement pas l’utilite.

votre avatar







Carpette a écrit :



Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l’epoque de razorback, je ne vois franchement pas l’utilite.







Faire croire au peuple que la situation est sous contrôle et que les autorités savent ce qu elles font ?


votre avatar

Perso je fais VPN + TOR, sur mon pc, sur mon téléphone Tor + Tor bridge + VPN

votre avatar

exacte&nbsp;

moi-même je log les in et out de mon réseau via le routeur avec syslog et un dossier séparé pour le serveur mincraft/l4d/tf2

votre avatar







aeris22 a écrit :



Non. Online n’a aucune obligation de stocker ce genre d’information. Ce niveau de détail serait de toute façon instockable tellement les informations seraient collosales (mon nœud Tor générait 300Mbps de trafic en continu, soit 1To de données par semaine).





Online, c’est français ? Si oui, il doit stocker les méta.


votre avatar







Ricard a écrit :



Quel rapport avec la Marine américaine ? Et quand à l’anonymat impossible, je ne suis pas d’accord avec ça.





Armée =&gt; traçabilité ?



Tu me diras, on arrive bien à être anonyme IRL, pourquoi pas sur internet… Mais il y a toujours un nœud qui conduit à un autre nœud, etc…

&nbsp;


votre avatar

Ca permettra de tracer l’ordre des machines infectées

votre avatar







Drepanocytose a écrit :



Des metadata, oui









Ricard a écrit :



Ben… c’est juste la loi.





+1000

<img data-src=" />

&nbsp;

&nbsp;Il faudrait quand même un jour que les gens se rendent compte des obligations des opérateurs télécoms

Toutes les connexions sont logguées

&nbsp;


votre avatar







aeris22 a écrit :



Ils n’ont pas ce genre de log. Et même s’ils l’avaient, ça ne servirait strictement à rien dans le cadre de l’enquête. Aucune des IP dedans n’est responsable dans l’infection Wanacry (une des machines est la machine infectée, l’autre est juste l’équivalent d’une porte d’entrée publique permettant de communiquer avec le réseau Tor).

&nbsp;



une fois ta le ip d’une victime tu peux commencer le traçage du ip et &nbsp;hélas &nbsp;tor est plus un problème &nbsp;qu’une solution ,&nbsp;

&nbsp;


votre avatar







Joe Le Boulet a écrit :



+1000

<img data-src=" />

&nbsp;

&nbsp;Il faudrait quand même un jour que les gens se rendent compte des obligations des opérateurs télécoms

Toutes les connexions sont logguées

&nbsp;





Article 1 de la LCEN de 2001. On en a déjà largement parlé sur Nxi.<img data-src=" />


votre avatar







teddyalbina a écrit :



Perso je fais VPN + TOR, sur mon pc, sur mon téléphone Tor + Tor bridge + VPN





Si ton VPN est sur le territoire français, ton fournisseur à l’obligation de garder les logs. Donc tu es semi anonyme.


votre avatar

loi no 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme -&gt; l’article 6, qui impose aux opérateurs télécoms, aux fournisseurs d’accès (FAI), mais aussi à tout établissement public proposant un accès internet, comme les cybercafés, de conserver les données de connexion (logs) pendant un an

votre avatar







MeGusta a écrit :



Armée =&gt; traçabilité ?



Tu me diras, on arrive bien à être anonyme IRL, pourquoi pas sur internet… Mais il y a toujours un nœud qui conduit à un autre nœud, etc…

&nbsp;





Tor est un logiciel libre (BSD 3 compatible GPL) donc même si ce soft sortait tout droit de la NSA, impossible d’y cacher une backdoor (du moins à long terme). Ensuite, tu te connectes chez MacDo depuis le parking. Tu peux logguer ce que tu veux, ça n’a aucune importance. D’ailleurs, Kevin Mitnick vient de sortir un papier très intéressant là-dessus.<img data-src=" />


votre avatar







MeGusta a écrit :



Si ton VPN est sur le territoire français&nbsp;



je ne suis pas sûr que ce soit le cas de la majorité des VPN…

&nbsp;


votre avatar

Ha, j’ai sorti l’article 6 de la loi contre le terrorisme, que dit cet Article 1 de la LCEN ?

votre avatar







lordofkill a écrit :



c’est ce que tous le monde pense , il y toujours des logs quelque par ,&nbsp;

les fai et hébergeur sont obligé de loggé les activités entré sorti , aussi sous certaine loi les logs sont obligatoire et les Os garde souvent des trace de connexion, en plus si ils font tombé les noeuds les arnaquer de wanna crypt vont se faire plus facilement repéré&nbsp;

même si tor ne log rien qui dit que le host lui n’a pas un syslog de configuré pour enregistré les va et vient de la machine





LOL.



Je peux te garantir que si tu crée un noeud TOR t’as pas de SysLog ou quoi que se soit d’autre d’activé non plus….



Que le FAI sache quelle IP a contacté le noeud personne en a rien a battre dans la mesure ou derrière il leur est impossible de savoir quoi que se soit d’autre…

&nbsp;


votre avatar

Oui mais tu peux logger uniquement le fait de s’être connecté à un service VPN ou bien à Tor, c’est pas un crime en soit.

votre avatar







oXis a écrit :



Ha, j’ai sorti l’article 6 de la loi contre le terrorisme, que dit cet Article 1 de la LCEN ?





&nbsphttps://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-…


votre avatar







aeris22 a écrit :



Je ne suis pas hébergeur de contenu. Je n’ai même aucun contenu.

Je suis équivalent ou en tout cas plus proche d’Online (je fournis un réseau dans le réseau, je ne fais que véhiculer des petits paquets dont je n’ai même aucune sorte d’idée de ce que ça peut bien être) que d’un hébergeur (hébergement du contenu). Et aucune loi n’impose de loger quoi que ce soit dans ce cas.



Les seules obligations actuelles que je connaisse sont

1- obligation de log des IP distribuées à leurs clients par les FAI (date, IP et identité du client)

2- obligation de log côté serveur web d’un hébergeur (date, IP du visiteur, contenu visité créé)





Tu avais tout bon, sauf le dernier mot !



Pour un hébergeur, il s’agit de savoir qui a créé un contenu pour pouvoir le punir s’il est illégal (injure, diffamation ou toute autre expression contraire à la loi, contenu protégé, …)



Je lui ai répondu à peu près la même chose. C’est quand même dommage de poster un lien sans le lire.


votre avatar







Drepanocytose a écrit :



Quand on vous sit que ce sont des criminels chez TOR… A la fois les concepteurs, les utilisateurs et ceux qui hébergent les noeuds….

Je te mettrais tout ca en prison, notre sécurité a tous en dépend.





Et que fais tu des utilisateurs de Windows, qui parce qu’il utilisent un OS passware, contribuent à redistribuer les virus à leurs voisins en toute impunité ?

Je te mettrais tout ça en prison, notre sécurité à tous en dépend.


votre avatar

Je ne suis pas un expert, mais tu pars du principe que le serveur C&C n’est constitué que d’un seule entité.



Si il y en a plusieurs, toute la démarche tombe à l’eau.

votre avatar

Vu le nombre d’infections et donc de connexions a établir, il faudrait un nombre assez important de serveurs pour qu’ils soient difficiles de les remonter par recoupement.

Si on part sur 200 000 infections avec chacune au minimum 20 connexions au(x) serveur(s) de commande alors ça fait plus de 4 000 000 de requêtes de connexions en l’espace de 3 jours… un trafic inhabituel qui se retrace facilement par recoupement des métadonnées.

votre avatar

Mais dans ton explication ne faut-il pas avoir accès à la fois aux serveurs d’entrée de sortie et aux middle ? Ca ne fait pas beaucoup ?

votre avatar

Laxiste. C’est à cause de gens comme toi que tout part en couilles.

JE RECLAME LA PEINE DE MORT!!!

votre avatar

@soupêtte : 




 &nbsp;C'est ce qu'ils vont faire sur un nombre suffisant de serveurs de façon à pouvoir faire les recoupements.        


  Les métédonnées vont le permettre car elles contiennent :        







  - IP's qui se connectent (système infectés) &nbsp;au premier serveur de la chaîne TOR     


  - IP &nbsp;en sortie vers les middle serveurs        







  Ils vont faire ça pour chaque étapes : entrée - middle - sortie&nbsp;        









  Ils vont faire ça en chaîne jusqu'à remonter la source des serveurs de commande avec ensuite une analyse par recoupement au niveau des serveurs possiblement identifiés comme serveurs de commandes cette-fois ci au niveau des datacenters qui les hébergent en analysant les flux sur les dits serveurs.
votre avatar

Sauf que:




  1. Pas besoin de saisir des serveurs qui n’ont vraisemblablement aucun logs.

  2. Aucun interet de recuperer les metadonnes de sorties des serveurs TOR

  3. Effectivement se baser sur les metadonnees des hebergeurs est la seule chose a faire. Mais TOR se trouve partout dans le monde notamment des pays ou ces prerogatives n’existent pas. Resultat tu vas identifier une partie de la chaine grace au trafic mais certains maillons manquants vont se trouver dans des coins ou les metriques n’ont pas ete generees.



    Concretement avec tous ces beaux chiffres, tu vas te rendre que des connexions vont en masse vers certains noeuds TOR dans divers pays et fin de l’histoire. D’autant que, comme souvent, les C&C sont variables et places sur des machines deja infectees. Il est extremement rare de remonter au C&C root donc pas trop d’espoir a ce niveau la.

votre avatar

Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.

Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.

Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !

Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !

votre avatar

OK mais tu sous-entends donc qu’ils auront accès à des serveurs à







NetworkSecExpert a écrit :



@soupêtte : 




   &nbsp;C'est ce qu'ils vont faire sur un nombre suffisant de serveurs de façon à pouvoir faire les recoupements.          


    Les métédonnées vont le permettre car elles contiennent :          







    - IP's qui se connectent (système infectés) &nbsp;au premier serveur de la chaîne TOR       


    - IP &nbsp;en sortie vers les middle serveurs          







    Ils vont faire ça pour chaque étapes : entrée - middle - sortie&nbsp;          









    Ils vont faire ça en chaîne jusqu'à remonter la source des serveurs de commande avec ensuite une analyse par recoupement au niveau des serveurs possiblement identifiés comme serveurs de commandes cette-fois ci au niveau des datacenters qui les hébergent en analysant les flux sur les dits serveurs.






Tu sous-entends qu’ils auront accès à tous ces serveurs (pas impossible en partie avec une bonne coordination internationale) mais ça me paraît un peu facile. Il faudrait beaucoup de serveurs quand même


votre avatar

Nul ne sait vraiment ce qui est écrit dans une machine tant qu’il n’a pas lui-même conçu le programme. C’est un principe de base en sécurité; Rien n’est fiable et sûre.



Après peut-être que je me trompe mais vu l’ampleur, je doute qu’ils saisissent des serveurs sans raisons.



Et je ne parle même pas du fait que les gouvernements peuvent être eux-même propriétaires d’une multitude de serveurs de sortie avec lesquels ils vont pouvoir faire des recoupements encore plus facilement juste en procédent à l’analyse des ip’s de sorties.

votre avatar







aeris22 a écrit :



Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.

Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.

Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !

Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !





1TO de données, c’est une quantité de volume, ça n’a pas signification particulière si ce que pour être grossier dans l’explication, un internaute a téléchargé un fichier de 1TO et que ton serveur s’est trouvé être l’un des points du réseau tor pour son téléchargement.


votre avatar

Ou pas justement. Ça va être du trafic qui va être reporté aléatoirement dans le réseau Tor. Ça va foutre un bordel pas possible pour recouper tout ça. Et en prime ça suppose que tu aies accès aux méta-données (dont je doute déjà de l’existence…) de l’ensemble des nœuds utilisés (donc de 3 pays différents, obligatoirement), pour chaque connexion. Sur 2 millions de connexion (soit 6 millions de sauts Tor, sans parler qu’ils sont renouvelé toutes les 10min…), c’est l’intégralité des logs du trafic planétaire qu’il te faut…



Et si tu as accès à ces méta-données, tu n’as certainement pas besoin de saisir les machines. Qui ne contiennent aucune info de toute façon.

votre avatar

Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.



Dommage que je n’ai pas le courage de mettre en place un serveur de sortie (Je ne veux pas être ennuyé par les problèmes potentiels que ça pourrait générer) avec conservation des métadonnées pour les passer à la moulinette sur le weekend de terreur afin par exemple, d’éliminer les ip connues du 01/2016 au 122016 pour ensuite avoir un échantillon d’ip nouvelles et donc possiblement dans ces ips les ips des serveurs de contrôle.



Les méthodes pour remonter à la source sont assez nombreuses pour des attaques de cette taille.

votre avatar

Les circuits Tor changent toutes les 10min. Et j’ai bien indiqué aussi derrière que j’avais des milliers de connexion ouvertes en permanence sur ma machine.



Donc même en saisissant ma machine, même si j’avais des logs (ce qui n’est pas le cas), tu aurais 1000 machines à aller saisir pour aussi espérer des logs, dans a minima une 10aine de pays, te menant à 1000 machines pour chaque machine saisie. Et donc un bon petit million de machines (soit tout le parc des nœuds Tor en fait) si tu veux espérer remonter à la source des données (3 nœuds par circuit).



Bref, c’est juste peine perdue.

votre avatar

Le C&C est dans un .onion. Il n’y a pas de guard ni d’exit node dans ce cas. Le trafic reste 100% à l’intérieur de Tor, tu n’auras donc strictement rien à comparer entre avant et après.

votre avatar

Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.

votre avatar

c’est ce que tous le monde pense , il y toujours des logs quelque par ,&nbsp;

les fai et hébergeur sont obligé de loggé les activités entré sorti , aussi sous certaine loi les logs sont obligatoire et les Os garde souvent des trace de connexion, en plus si ils font tombé les noeuds les arnaquer de wanna crypt vont se faire plus facilement repéré&nbsp;

même si tor ne log rien qui dit que le host lui n’a pas un syslog de configuré pour enregistré les va et vient de la machine

votre avatar



Enfin, le ministère de l’Intérieur refuse de s’exprimer sur une enquête

en cours. Il renvoie vers le parquet de Paris, injoignable pour le

moment.



Lequel ? Le nouveau ou l’ancien ?<img data-src=" />

votre avatar







aeris22 a écrit :



Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.





Donc y’a vraiment rien a chopper. A part les versions installes des differents modules mais je vois pas ce qu’on peut en tirer, d’autant qu’il s’agit certainement des dernieres.

Qu’est ce que c’est que ce foutage de gueule.


votre avatar

Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.

Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.

votre avatar







aeris22 a écrit :



Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.

Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.





Si le noeud est chez un hébergeur, lui doit avoir des logs de de qui entre et sort sur le noeud


votre avatar

Faut-il encore rappeler de nos jours que Tor a été inventé par le laboratoire de recherche de la marine américaine…?

votre avatar







Drepanocytose a écrit :



Si le noeud est chez un hébergeur, lui doit avoir des logs de de qui entre et sort sur le noeud





Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;


votre avatar







Mickael Knight a écrit :



Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;





Des metadata, oui


votre avatar







MeGusta a écrit :



Faut-il encore rappeler de nos jours que Tor a été inventé par le laboratoire de recherche de la marine américaine…?





Et ?


votre avatar







Mickael Knight a écrit :



Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;





Ben… c’est juste la loi.


votre avatar







Ricard a écrit :



Et ?





Et donc c’est super, Tor, pour nager en eaux troubles <img data-src=" />


votre avatar







Ricard a écrit :



Et ?





Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;


votre avatar

Ils n’ont pas ce genre de log. Et même s’ils l’avaient, ça ne servirait strictement à rien dans le cadre de l’enquête. Aucune des IP dedans n’est responsable dans l’infection Wanacry (une des machines est la machine infectée, l’autre est juste l’équivalent d’une porte d’entrée publique permettant de communiquer avec le réseau Tor).

votre avatar







MeGusta a écrit :



Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;





Quel rapport avec la Marine américaine ? Et quand à l’anonymat impossible, je ne suis pas d’accord avec ça.


votre avatar

Non. Online n’a aucune obligation de stocker ce genre d’information. Ce niveau de détail serait de toute façon instockable tellement les informations seraient collosales (mon nœud Tor générait 300Mbps de trafic en continu, soit 1To de données par semaine).

votre avatar







oXis a écrit :



Oui mais tu peux logger uniquement le fait de s’être connecté à un service VPN ou bien à Tor, c’est pas un crime en soit.





J’ai jamais dit que c’était un crime ;)


votre avatar







Ricard a écrit :



Tor est un logiciel libre (BSD 3 compatible GPL) donc même si ce soft sortait tout droit de la NSA, impossible d’y cacher une backdoor (du moins à long terme). Ensuite, tu te connectes chez MacDo depuis le parking. Tu peux logguer ce que tu veux, ça n’a aucune importance. D’ailleurs, Kevin Mitnick vient de sortir un papier très intéressant là-dessus.<img data-src=" />





SI tu as un lien je suis preneur ! (c’est ça l’INpactitude). Mais bon, vu son passé…&nbsp;


votre avatar

Vu que la LCEN date de 2004, et que l’article 1 de la LCEN est la définition de ce qu’est un réseau, je vois mal en quoi un hypothétique article 1 de 2001 imposerait quoi que ce soit à une entité comme Online (qui n’est pas hébergeur de contenu, mais opérateur de réseau).

votre avatar







tpeg5stan a écrit :



je ne suis pas sûr que ce soit le cas de la majorité des VPN…

&nbsp;





Effectivement, mais du coup, si tu ne te renseignes pas avant l’achat, c’est cuit ‘-’


votre avatar

Haha, non non c’est pas une crime :)

Je veux juste dire que le log est inutile. Tu peux rien en faire.

votre avatar







MeGusta a écrit :



Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;





Ahahahahahahahahahahah



Ahahahahahahahahahahhaha



Ahahahahahahahahahahahahah



je m’arrête la.. mais j’ai bien ris…



&nbsp;


votre avatar

Oula… Jamais, au grand jamais, de Tor over Tor. cf le risque de passer par le même nœud.



Et VPN over Tor est inutile aussi, ça ne fait que faire passer en VPN via Tor, donc aucune anonymisation supplémentaire. De plus, en France, les VPN sont légalement obligatoirements loggés.

votre avatar







YohAsAkUrA a écrit :



Ahahahahahahahahahahah



Ahahahahahahahahahahhaha



Ahahahahahahahahahahahahah



je m’arrête la.. mais j’ai bien ris…







En tout cas il me semble que TOR sur windows est loin d’être anonyme à ce que j’ai pu lire.



trouvé vite fait :



nextinpact.com Next INpact



après il me semble qu’il faut utiliser TOR avec une certaine distribution de linux pour arriver, semble-t-il, à être anonyme


votre avatar

L’anonymité au sein même du réseau Tor, donc quand tu accèdes à des domaines .onion est quasi parfaite. Mais une fois que tu sors du réseau elle n’est plus 100% garantie. Des chercheurs ont réussit à lever l’anonymat de certaines personnes en analysant les patterns de connexion. Quand tu te connectes toujours du même pc à Tor, en analysant les noeuds de sortie tu peux faire des déductions.

votre avatar







MeGusta a écrit :



Effectivement, mais du coup, si tu ne te renseignes pas avant la location, c’est cuit ‘-’





<img data-src=" />


votre avatar

Si je monte un VPN pour mon usage exclusif je suis sensé le logguer ?

Certain qu’il y a quelque chose comme “un accusé n’est pas obligé de se charger lui-même” en Droit qui fait qu’on peut bien s’assoir là-dessus pour ce cas-ci

votre avatar

C’est Tails la distribution, Kali est aussi utilisable.



La disparition de ces noeuds expliquent pourquoi c’était lent ces derniers jours par moment (bon tout dépend d’où tu sors)., moi qui avait besoin de ma dose de vidéo pedonazi-terroiste lunaire*











* matez IronSky, c’est complètement décalé comme film.

votre avatar







oXis a écrit :



L’anonymité au sein même du réseau Tor, donc quand tu accèdes à des domaines .onion est quasi parfaite. Mais une fois que tu sors du réseau elle n’est plus 100% garantie. Des chercheurs ont réussit à lever l’anonymat de certaines personnes en analysant les patterns de connexion. Quand tu te connectes toujours du même pc à Tor, en analysant les noeuds de sortie tu peux faire des déductions.






et explique moi donc comment une personne peut definir que tu utilises toujours le même pc pour te connecter dans la mesure ou la seule info qui sort de chez toi c'est ton IP Publique ?




Je peux te garantir qu’aujourd’hui c’est vraiment pas difficile de naviguer sur le web de manière 100% anonyme en combinant l’utilisation de VPN dans des pays ou il n’y a aucune obligation a loger quoi que se soit combiné a du TOR et d’autres applis sous une distrib Tails………



Si demain je vais au Mcdo et que je me connecte a un VPN en malaisie pour ensuite utiliser un Noeud tor a X ou Y endroit , la seule chose que le Fai du Mcdo va voir c’est un traffic crypté d’un point A a un point B et aucune moment ce qui se passe derrière ni même ce qui revient… puis si vraiment je veux utiliser des access point publics j’ai qu’a changer d’adresse Mac a chaque fois que je me connecte….



aucun pirate ne lance une attaque malware comme WannaCrypt du fond de sa chambre hein ;)

&nbsp;


votre avatar

Si il est autohébergé, pas de problème là <img data-src=" />.



Mais inutile de mettre un VPN si c’est pour passer via Tor.

votre avatar







YohAsAkUrA a écrit :



Si demain je vais au Mcdo et que je me connecte a un VPN en malaisie pour ensuite utiliser un Noeud tor a X ou Y endroit , la seule chose que le Fai du Mcdo va voir c’est un traffic crypté d’un point A a un point B et aucune moment ce qui se passe derrière ni même ce qui revient… puis si vraiment je veux utiliser des access point publics j’ai qu’a changer d’adresse Mac a chaque fois que je me connecte…. 




 aucun pirate ne lance une attaque malware comme WannaCrypt du fond de sa chambre hein ;)       


 &nbsp;






Ok pour ton IP. Mais et les autres infos récupérées à ton insu ? Adresse Mac, peut être le numéro de série du portable avec lequel tu te connectes etc.

Ce n’est pas parce qu’un système se dit safe n secure, qu’il l’est.



Jusqu’à présent, il a été démontrè au contraire que pour que quelque chose soit sécurisé, il ne doit JAMAIS être connecté au net !



Du coup, s’il la lance pas de sa chambre, il la lance de son bureau ?&nbsp;


votre avatar

Ha mais tu as tout à fait raison, VPN dans un pays sans contrôle + Freenet/Tor/I2P c’est robuste, mais c’est pas 100% infaillible, y’a toujours des traces. Aucun système n’est parfaitement sécurisé, aucun système n’est parfaitement anonyme, y’a toujours un point faible.



Le mec de SilkRoad c’est fait choper car il a utilisé le même pseudo sur stackoverflow et ils ont ensuite vu qu’il se connectait souvent à Tor, alors c’est pas une faiblaisse du réseau Tor, mais ça monte que t’es jamais 100% couvert.



Je parlais de ce payer dans mon post (il me semble que c’est lui)-&gt;http://sec.cs.ucl.ac.uk/users/smurdoch/papers/oakland05torta.pdf

votre avatar







MeGusta a écrit :



SI tu as un lien je suis preneur ! (c’est ça l’INpactitude). Mais bon, vu son passé…&nbsp;





http://www.toolinux.com/Les-secrets-de-Kevin-Mitnick-sur-l <img data-src=" />


votre avatar







aeris22 a écrit :



Vu que la LCEN date de 2004, et que l’article 1 de la LCEN est la définition de ce qu’est un réseau, je vois mal en quoi un hypothétique article 1 de 2001 imposerait quoi que ce soit à une entité comme Online (qui n’est pas hébergeur de contenu, mais opérateur de réseau).





2011, pas 2001 ;) et c’est pour ça que je t’ai demandé si Online était hébergeur. Auquel cas, c’est toi l’hébergeur.


votre avatar







oXis a écrit :



Ha mais tu as tout à fait raison, VPN dans un pays sans contrôle + Freenet/Tor/I2P c’est robuste, mais c’est pas 100% infaillible, y’a toujours des traces. Aucun système n’est parfaitement sécurisé, aucun système n’est parfaitement anonyme, y’a toujours un point faible.





Comme celà a été dit précedement TOR + VPN est contre-productif, merci de ne pas participer à répandre des pratiques dangereuses.


votre avatar







Ricard a écrit :



http://www.toolinux.com/Les-secrets-de-Kevin-Mitnick-sur-l <img data-src=" />





Merci pour le lien.

L’intitulé dit bien “se prémunir”.&nbsp;


votre avatar







jeje07bis a écrit :



&nbsp;



après il me semble qu’il faut utiliser TOR avec une certaine distribution de linux pour arriver, semble-t-il, à être anonyme





Tails. <img data-src=" />


votre avatar

Pardon monsieur, je ne referais pas cette erreur <img data-src=" />

votre avatar







MeGusta a écrit :



Merci pour le lien.

L’intitulé dit bien “se prémunir”.&nbsp;





Prémunir: verbe transitif:

&nbsp; Protéger quelqu’un contre un mal, le mettre à l’abri d’un danger (Larousse)



Ensuite, c’est le titre de l’article de Toolinux, ça ne reflète en rien la qualité et la véracité du bouquin.<img data-src=" />


votre avatar







oXis a écrit :



Haha, non non c’est pas une crime :)

Je veux juste dire que le log est inutile. Tu peux rien en faire.





On est d’accord.


votre avatar

il vont pas y trouver grand chose… ca garde pas de logs ces bidules la…

votre avatar

Je ne suis pas hébergeur de contenu. Je n’ai même aucun contenu.

Je suis équivalent ou en tout cas plus proche d’Online (je fournis un réseau dans le réseau, je ne fais que véhiculer des petits paquets dont je n’ai même aucune sorte d’idée de ce que ça peut bien être) que d’un hébergeur (hébergement du contenu). Et aucune loi n’impose de loger quoi que ce soit dans ce cas.



Les seules obligations actuelles que je connaisse sont

1- obligation de log des IP distribuées à leurs clients par les FAI (date, IP et identité du client)

2- obligation de log côté serveur web d’un hébergeur (date, IP du visiteur, contenu visité)

votre avatar



Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication





Sacré nom <img data-src=" />

votre avatar

Du coup, sais-tu si tu as une chance de revoir ton serveur un jour ?

votre avatar







MeGusta a écrit :



Ok pour ton IP. Mais et les autres infos récupérées à ton insu ? Adresse Mac, peut être le numéro de série du portable avec lequel tu te connectes etc.

Ce n’est pas parce qu’un système se dit safe n secure, qu’il l’est.



Jusqu’à présent, il a été démontrè au contraire que pour que quelque chose soit sécurisé, il ne doit JAMAIS être connecté au net !



Du coup, s’il la lance pas de sa chambre, il la lance de son bureau ?&nbsp;





comme dit avec mon edit (j’ai voulu allez plus en detail après coup)&nbsp;

Le MAC Spoofing ça existe. et sous bien des distrib linux il est impossible de recuperer le numéro de série de ton laptop ou quoi que se soit comme identification unique.









Tout cela était surtout pour repondre au fait que :&nbsp;



“Aujourd’hui il est impossible d’être 100% anonyme”



Et bien oui , c’est possible. Si t’as besoin d’être 100% anonyme a un moment donné , c’est possible. mais biensur faut pas faire de la navigation 100% anonyme en permanence sinon a force, on peut finir par faire du regroupement de données et definir que tu est monsieur 294841531 sur internet avec des habitudes précises.





Mais si demain je veux lancer un truc aussi dégueulasse que Wannacrypt, il n’y a rien de plus simple pour ne jamais pouvoir être retrouvé avec un oneshot…

&nbsp;


votre avatar

Je préfère ne pas compter dessus :P

Il y a certainement une chance non nulle, mais dans trop longtemps et sans garantie. Donc autant considérer les données perdues (et ça sert à ça les backups, se protéger de Wannacry et se protéger de ceux qui ne se sont pas protégés de Wannacry :P)

votre avatar







Ricard a écrit :



&#160https://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-…







On parle de 2 choses dans ta page :




  1. les obligations des FAI (pour leur travail de FAI) : stocker les dates et heures + adresse IP pendant 1 an



    Cela ne s’applique pas à la gestion d’un nœud TOR.



  2. les obligations des hébergeurs pour de la création de contenu. Je ne détaille pas ce qu’il faut stocker puisque l’on est aussi hors sujet.



    Quelqu’un qui gère un nœud TOR n’est aucun des 2.


votre avatar

La saisie va permettre se remonter les commanditaires assez simplement… car le virus Wannacrypt téléchargeait le client tor pour pouvoir communiquer avec le serveur de contrôle hébergé en “hidden service”.



Pour remonter la source du serveur de commande, au vu du nombre d’infection, &nbsp;les choses vont aller très vite.



Le principe est le suivant, admettons que certains hébergeurs conservent les métadonnées de connexions ou que ces métadonnées soit obtenues d’une façon ou d’une autre (via par exemple les systèmes de surveillances des télécommunications nationaux) alors ils vont procéder de la sorte par recoupement :





  1. Récupération des connexions massives aux nœuds d’entrées via les métadonnées et récupérations des métadonnées de sorties de ces serveurs



  2. Récupération des serveurs “middle” ayant reçus massivement les connexions des premiers serveurs saisis, toujours via les métadonnées; Analyses de celles-ci pour remonter au nœud de sortie.



  3. Il ne reste plus qu’à mutualiser toutes les informations récupérées des différents pays et par recoupement de trouver le serveur de commande vers lequel un nombre de connexion très important ont été acheminées.





    L’utilisation du réseau tor dans ce cas là permet de se cacher un temps mais pas rétroactivement après analyse et donc j’espère pour les commanditaires qu’ils ont pris leurs dispositions au niveau des traces qu’ils auraient pu laisser sur les serveurs de commande. L’histoire nous le dira, mais pensant ne pas être retracé par l’utilisation de tor de leur virus alors ont-ils surement été imprudent dans l’achat/utilisation/configuration de leurs serveurs de commandes.



    Wait And See.

    &nbsp;

votre avatar







Quiproquo a écrit :



C’est parce que c’est un article gratuit, sur les articles payants les commentaires sont nazes&nbsp;! 😁





<img data-src=" /> Je viens de découvrir que NXI/PCI était donc payant depuis je poste des commentaire sur pci&nbsp;<img data-src=" />


votre avatar

et pour tout ceux qui rêve de “ahaha j’ai chiffré mon ordinateur avec rsa 4096 personne ne pourra savoir ce que j’ai”, je rappellerais:

&nbsphttps://www.xkcd.com/538/



Il y a plein de façon différente de prendre la main sur un terminal, et croire que les services de renseignements , qui sont des professionnels du renseignement, n’ont que le brute force d’un message&nbsp; envoyé sur un réseau risque d’avoir quelques déconvennues si ils intéressent vraiment les services.



Ensuite c’est un rapport “cout/bénéfice”. Par exemple si ils peuvent rooter tous les téléphones en un clic , ils l’utiliseront massivement. Si il faut avoir une compromission physique, il faut avoir fait plus que juste envoyer un sms chiffré à ta mère/femme/… pour qu’ils prennent la peine de savoir ce qu’il y a dans le message.



Sachant que le plus intéressant est rarement le message, mais les métadata.



&nbsp;

votre avatar

C’est pour éviter le syndrôme « clef à molette » que je fais aussi très gaffe avec des systèmes 2FA ou autres.

Même en me cassant les genoux, si je n’ai pas accès à ce dont j’ai besoin, je ne suis pas en mesure de donner les infos nécessaires au déchiffrement :)

votre avatar







briaeros007 a écrit :



et pour tout ceux qui rêve de “ahaha j’ai chiffré mon ordinateur avec rsa 4096 personne ne pourra savoir ce que j’ai”, je rappellerais:

&nbsp;https://www.xkcd.com/538/



Il y a plein de façon différente de prendre la main sur un terminal, et croire que les services de renseignements , qui sont des professionnels du renseignement, n’ont que le brute force d’un message&nbsp; envoyé sur un réseau risque d’avoir quelques déconvennues si ils intéressent vraiment les services.



Ensuite c’est un rapport “cout/bénéfice”. Par exemple si ils peuvent rooter tous les téléphones en un clic , ils l’utiliseront massivement. Si il faut avoir une compromission physique, il faut avoir fait plus que juste envoyer un sms chiffré à ta mère/femme/… pour qu’ils prennent la peine de savoir ce qu’il y a dans le message.



Sachant que le plus intéressant est rarement le message, mais les métadata.



&nbsp;





Un mec qui ne s’appuierait que la dessus serait inconscient. Les moyens de securite se dimensionnent en fonction d’un risque. Que veut-on proteger et qui est l’ennemi ? Quand on a la reponse a ces questions, on etudie tous les maillons de la chaine.



Quand la reponse a “qui est l’ennemi” est l’etat (incluant DGSI et potentiellement les renseignements des pays partenaires) alors les moyens a mettre en place sont lourds, mais ca n’est pas une operation impossible non plus. Cela dit c’est quasiment un job a plein temps, c’est pour ca qu’il faut etre appuye par une organisation exterieure.

&nbsp;


votre avatar

La méthode de la clé à molette a aussi le bon gout (ou mauvais, selon comment on regarde), de garantir qu’on soit au courant de s’être fait piraté.

Aussi, l’aspect peu automatisable et particulièrement intrusif de la chose en limite l’applicabilité à quelques cas particuliers (un peu comme la possibilité potentielle pour la NSA de casser du protonmail : peut-être, mais pas à grande échelle).

votre avatar

Quid du fait que les terminaux peuvent avoir été vérolés avant, par exemple dès leur conception, ou lors de leur expédition dans le pays où ils vont être commercialisés, ou par une application pré-installée, etc. (la liste des scénarios pourrait être longue).



A ce moment là, peu importe la cryptographie qui est utilisée, nul besoin de la casser, les secrets sont connus.

&nbsp;

Plus d’infos :youtube.com YouTube

votre avatar

Si ton VPN est sur le territoire français, ce n’est pas très malin.

votre avatar

c’est exactement mon impression.

diminuer le nombre de serveurs guard, et qui sait, ils vont surement monter leurs propres serveurs TOR discrètement, histoire de posséder par exemple plus de 66% des serveurs TOR dans le pays.



En saisissant les serveurs guard existants, ils mettent le bordel dans le réseau TOR, et font monter leur ratio.



En plus, les propriétaires se font surement ficher S

votre avatar







aeris22 a écrit :



C’est pour éviter le syndrôme « clef à molette » que je fais aussi très gaffe avec des systèmes 2FA ou autres.

Même en me cassant les genoux, si je n’ai pas accès à ce dont j’ai besoin, je ne suis pas en mesure de donner les infos nécessaires au déchiffrement :)







Merci pour toutes ces informations <img data-src=" />



Une question plus terre à terre : comment s’est déroulé la saisie de ta machine ?

Les autorités avaient un mandat ? Elles t’ont sollicité directement ou sont passés par ton hébergeur ? As-tu été entendu dans le cadre de l’enquête ? Cours-tu un risque quelconque d’un point de vue légal ?


votre avatar

Et j’ajouterais : Avez-vous l’intention de remonter un noeud équivalent ?

votre avatar







NetworkSecExpert a écrit :



Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.





&nbsp;A priori ça reste le meilleur moyen à l’heure actuelle.


votre avatar

Si tu n’es pas trop bête (les erreurs de SilkRoad & autres étaient humaines, pas techniques), Tor est un excellent moyen de te mettre à l’abri. Certainement le meilleur (sinon le seul d’ailleurs) qui existe aujourd’hui.

votre avatar

J’ai réinstallé mon serveur y a environ 1 mois chez OVH et par manque de temps j’ai pas remis le bridge tor en place. Ouf :) ça m’aurait fait chier de perdre les autres trucs qui tourne dessus!

votre avatar

Le trafic reste dans tor mais il n’empêche que le nœud de sortie lui se connecte bien à l’hidden service et donc à la machine qui héberge les serveurs de commande.

Simplement le trafic entre le nœud de sortie et le hidden est chiffré via tor, ni plus ni moins.

votre avatar

Il n’y a pas de nœuds de sortie sur les services cachés.

Le service caché et le client se rencontrent sur un nœud pris au pif (l’introduction point), il y a donc 6 couches de chiffrement, et l’introduction point ne connaît ni l’identité du client (1 circuit de 3 nœuds entre lui et le client) ni le service caché (pareil).

Tu n’as donc aucun moyen de remonter à la source. Même en saisissant toutes les machines.

votre avatar

On va gratter l’oignon de bon matin <img data-src=" /> <img data-src=" />

Je ne suis déjà plus là …

votre avatar

Le principe reste le même:



une ou plusieurs IP’s qui avant n’existaient pas sur le réseau se mettent à se connecter à des nœuds et elles le font en quantité importante vu le nombre de machines infectés.



Pour reprendre ce que je disais:



Une machine tor fonctionnant depuis 2 ans et qui log les métadonnées, pour détecter les “nouvelles” ip, je décide de supprimer de mes métadonnées toutes les ips connues depuis la possible mise en test du virus, soit disons la date de sortie publique de la faille trouvé par la nsa.



Il me reste donc toutes les ips nouvelles entre la période de publication de la faille et aujourd’hui, il reste ensuite à faire une statistique des ips les plus vu en connexion le semaine d’avant la diffusion du virus, puis de refaire la même chose après la diffusion du virus.



De cette liste va forcément apparaître les ips des serveurs de commandes, et à plus forte raison si les gouvernements ont des dizaines de serveurs tor.



&nbsp;

votre avatar

ça semblait marcher vachement bien chez numéricable , qui avait déjà du mal à fournir les adresses pour une ip leur appartenant&nbsp;

nextinpact.com Next INpact



&nbsp;

votre avatar

Non, il n’y aura pas « d’IP à apparaître ». Tu ne verras que X CLIENTS Tor supplémentaires, et encore en espérant que tu sois Guard (ce qui ne sera pas le cas si tu as un comportement mauvais pour le réseau d’ailleurs). Sinon tu ne verras juste rien du tout puisque tu ne fais que discuter avec des nœuds Tor (middle ou exit, puisqu’ici tu n’as pas de vrais exit vers le dehors du réseau).

Donc tout ce que tu peux lister, c’est l’arrivée massive de toutes les machines infectés.

Le HS lui, il sera apparu X mois avant bien tranquillement quand il n’y avait encore personne à s’intéresser à Wannacry, ou bien noyé dans le gros bordel de machines compromises.

votre avatar

Vu que la connexion passe par plusieurs nœuds tor, tous les nœuds intermédiaires ont leur connexions qui augmentent d’autant. Donc tu ne peux pas savoir quel nœud demande plus qu’avant (puisque tu ne sais pas quel est le nœud d’origine). Donc tous les nœuds sont autant suspects les uns que les autres et t’es pas plus avancé…



Edit : zut, grillé par aeris22 de quelques minutes <img data-src=" />

votre avatar

Et d’ailleurs, les criminels discutent par mail. ‘Faudrait mettre tous les fournisseurs de mail en prison, notre sécurité à tous en dépend.

votre avatar







aeris22 a écrit :



Si tu n’es pas trop bête (les erreurs de SilkRoad & autres étaient humaines, pas techniques), Tor est un excellent moyen de te mettre à l’abri. Certainement le meilleur (sinon le seul d’ailleurs) qui existe aujourd’hui.





Pas vraiment, I2P a été conçu pour développer un anonymat bien plus fort que Tor. QQ infos ici:https://geti2p.net/fr/comparison/tor

Cela dit, Tor est déjà extremement efficace.

Pour info, un serveur/client (car on est automatiquement serveur et client) I2P est inclus dans Tails.


votre avatar

Oui, il y a effectivement I2P aussi, mais il n’est pas/peu utilisable dans ce cas, vu que comme tu le dis tu deviens serveur et client à la fois (plus galère à faire tourner sur une machine chopée in the wild).

votre avatar







aeris22 a écrit :



Oui, il y a effectivement I2P aussi, mais il n’est pas/peu utilisable dans ce cas, vu que comme tu le dis tu deviens serveur et client à la fois (plus galère à faire tourner sur une machine chopée in the wild).





Je pense que c’est pas infaisable avec l’upnp et ce genre de conneries. C’est comme ça que pleins de couillons se retrouvent C&C sans le savoir. Mais effectivement c’est plus complexe à mettre en place.


votre avatar

Je peux me tromper, mais dans la trame TCP, il y a la MAC. A moins d’en changer continuellement, le modem est traçable, non ?

votre avatar

La MAC change à chaque routeur. Tu ne peux pas utiliser la MAC pour tracer un équipement hors d’un réseau niveau 2 (switching)

votre avatar







teddyalbina a écrit :



I2P est mature ?





Le core et les differentes applications sont actifs et en developpement constant, des releases sont regulierement faites. Des repos debian/ub sont dispos sinon la compilation. Donc oui il est mature, utilisable et utilise.



L’anonymat est bien plus pousse (routage en ail, chemin unidirectionnel) que Tor toutefois au prix d’un debit assez immonde du fait que toi et moi devenont noeuds. Ce qui rend le DDos a peu pres impossible d’autant que le reseau est extremement decentralise. Mais les problemes de clients/serveurs simultanes rappellent les pb de kademlia tout comme la decentralisation totale a ses inconvenients (qui a autorite ?).


votre avatar







Carpette a écrit :



C’est bien sur evident. Ce sont des techniques sauvages qui auront des consequences: les noeud se dupliqueront dans des pays plus interessants et ils auront tout gagne.





Je suis pas sûr qu’il y ait des pays plus intéressant vu nos lois sur le renseignement relativement larges.







Carpette a écrit :



Tiens ca me rappelle quand les pratiques d’espionnage ont ete revelees. Maintenant SSL est partout et pour tout. Bravo les gars.





Oui, à part faire passer les gens vers toujours plus de chiffrement, ce qui n’est pas mauvais en soi, ça n’a pas servi à grand chose.



Après, pas encore partout. L’autre jour, je voulais commander un truc sur un site, fallait que je créée un compte, les conditions sur les mots de passe étaient très poussées, sauf que la page était pas sécurisée <img data-src=" />


votre avatar

Change de beau-frère.



Même si la NSA avait cette puissance de frappe (elle l’a effectivement sûrement sur le papier), elle réservera son usage à des cas extrêmements spécifiques vu le coût astronomique pour péter ce genre de choses.



C’est exactement pareil pour la France hein, ils ont des moyens « secret défense » utilisables si besoin pour péter de la crypto même très robuste. Juste ils ne s’en serviront jamais pour un pékin moyen.

votre avatar







dematbreizh a écrit :



J’ai un beau frère qui est persuadé que la NSA est capable de décrypter (j’utilise le bon terme) les messages qu’on envoie depuis un ProtonMail ou un Silence.

Même après que je lui ai dit que la NSA n’avait pas pu repérer les messages de Snowden.





La NSA est une entite federale soumise a un budget comme tout le monde et ayant des atouts tels que des docteurs/chercheurs et une brochette d’ingenieurs.

Ils ont bien sur une enorme puissance de frappe (qui diminue a tres grande vitesse du fait du chiffrement) mais ne sont pas des magiciens.



En ce qui concerne Protonmail/Silence, je n’en ai absolument aucune idee. Par contre je peux te dire que les principaux algos (type RSA) ne sont pas casses et que, du moment que les implementations sont eprouvees, il n’y a pas grand chose a craindre quand on suit les regles de securite de base.



Je pense qu’aucun etat n’a envie de se priver du fric qui circule sur le darknet mais ils n’ont juste pas les moyens de l’atteindre.


votre avatar

Et quelle est la proba que le fournisseur du serveur logs les connexions?

votre avatar

0 aussi. Trop consommateur en temps et en ressources, trop intrusif sur le réseau, trop de données à collecter et à stocker. Pour une utilité proche du 0.

votre avatar

Le seul trafic intéressant à logger sur TOR, c’est celui d’un nœud de sortie, en tablant sur le fait qu’il y ait des infos intéressantes à chopper, et il faut réussir à ne pas se faire chopper sinon c’est le ban du réseau.

votre avatar

Il n’y a aucun nœud de sortie dans le cas de wanacry. Ça utilise des .onion, donc ça reste 100% en interne du réseau Tor. Le C&C n’est qu’un client Tor comme les autres, au même titre que toutes les machines infectées.

votre avatar







aeris22 a écrit :



Il n’y a aucun nœud de sortie dans le cas de wanacry. Ça utilise des .onion, donc ça reste 100% en interne du réseau Tor. Le C&C n’est qu’un client Tor comme les autres, au même titre que toutes les machines infectées.





Oui <img data-src=" />



Je faisais cette parenthèse sur l’utilité du log de trafic pour justement pointer que c’était le fait de sortir du réseau qui pouvait rendre vulnérable.


votre avatar

Du coup, comment ça se passe ? À un moment, l’un des nœuds doit bien « savoir » que le prochain nœud est le service .onion, histoire de router vers le bon.



Je suppose donc qu’il y a une table de routage quelque part, qui dit « pour tel service .onion, utilise tel nœud ». Et cette table, elle est stockée en RAM, non ? (c’est peut-être ça dont tu parles qui est remis à jour toutes les 10 minutes).



En supposant la saisie bien faite, n’y a-t-il pas moyen de dumper (depuis la ram, donc) ces tables de routage sur tous les serveurs, et ensuite, par une approche statistique, déterminer l’ip du .onion que tu cherches ?

votre avatar

Merci pour ces précisions :)

votre avatar

Je ne sais pourquoi une petite voix me dit que l’objectif de cette descente c’est de figer une capture. Vu l’ampleur de l’attaque le bruit a certainement été mesuré et doit très probablement être stocké quelque part dans l’une des fermes continentales, ici on doit être sur la partie analytique du trafic et un élément utile doit certainement se trouver dans ces saisies… ^¿^

votre avatar

Ça ne fonctionne pas vraiment comme ça avec les services cachés.



Le C&C va se connecter au réseau Tor, avec un simple client Tor indistinguable des autres clients.

Choisir quelques relais au pif (les introductions points), les contacter en établissant un circuit Tor (3 relais) et leur dire « si quelqu’un demande xxxx.onion, merci d’utiliser ce circuit ». Les introductions points publient dans une DHT gérée par l’ensemble des nœuds dit « HSDir » en disant « si vous voulez contacter xxxx.onion, vous pouvez joindre les introductions points suivants »



&nbsp;Quand un client Tor standard veut accéder à xxx.onion, il demande aux HSDir quels sont les introductions points (toujours via un circuit Tor hein !), se connecte à l’un d’entre eux, et est mis en relation avec le service caché (derrière un circuit Tor lui-aussi donc).



Ni le HSDir ni l’introduction point ne connaissent l’adresse IP réelle de quelqu’un, ni du service caché ni du visiteur du service caché.

Saisir les nœuds Tor n’apprendra rien de plus :




  • Les HSDir se répartissent la DHT (d’où le D de DHT), donc vous ne pouvez pas lister facilement tous les introductions points d’un service caché

  • Si tu as du bol de saisir un introduction point, déjà dès que tu le fous offline, tu perds de toute façon le circuit Tor du service caché (qui changera de toute façon régulièrement) et même en le gardant online, ben tu ne fais que voir un autre nœud Tor (vu qu’il y a un circuit Tor entre l’introduction point et le service caché)

  • Si tu saisis une autre machine, pareil, tu n’as aucune info supplémentaire, tu vois juste au mieux le client du service caché si tu tombes sur un guard, mais tu n’as aucun moyen de savoir que c’est bien lui (vu que le circuit ira vers un middle derrière, qui n’est ni l’introduction point ni le hsdir ni le service caché), et dans tous les autres cas tu ne verras que des tas de circuit Tor non identifiable…



    Bref, laissez les nœuds Tor tranquille SVP, ça ne sert à rien de les saisir…

votre avatar

Merci pour les explications <img data-src=" />

votre avatar

Ca faisait longtemps que les commentaires d’une news &nbsp;n’avait apporté autant d’informations techniques&nbsp;<img data-src=" />

votre avatar

C’est parce que c’est un article gratuit, sur les articles payants les commentaires sont nazes ! 😁

votre avatar

Perso à minima je suis sur VPN + mac address spoofing. Sur mon tel, chiffrage + VPN et quelques softs sympas pour passer des appels sécurisé. Je vais mettre veracrypt sur mon prochain poste et un dual bool avec tails FFF.

votre avatar

I2P est mature ?

votre avatar

C’est complètement con.



A se demander si le but n’est pas juste d’essayer de porter atteinte au réseau en tapant sur les nœuds de confiance et en foutant la pression sur les hébergeurs.

votre avatar







ActionFighter a écrit :



C’est complètement con.



A se demander si le but n’est pas juste d’essayer de porter atteinte au réseau en tapant sur les nœuds de confiance et en foutant la pression sur les hébergeurs.





Oui et non… Si tu diminues le nombre de nœuds de confiance et que tu augmentes le nombre des nœuds contrôlé par la police etc tu augmentes la probabilité de chopper les gars qui utilisent tor &nbsp;pour des activités illicites. Enfin je suppose…


votre avatar

@tout ceux qui - nous disent que Tor n’est pas vraiment anonyme et traçable, je voudrais qu’ils :



&nbsp;- nous expliquent pourquoi les organisations criminelles de toutes sortes iraient expressément sur TOR pour faire leur business malsain ?





  • nous expliquent pourquoi les dissidents de pays ou internet est censuré s’en servent alors qu’ils ne peuvent pas faire autrement sous peine de se voir enfermé a vie.



    C’est vrai, ces personnes pourraient tout autant le faire sur le web non-chiffré scanné par tous les moteurs de recherche après tout.



    Soyons réaliste, Tor apporte bel et bien une anonymisation très difficile a tracer.&nbsp; Tout comme Bitcoin / la cryptomonnaie/blockchain rend très difficile le traçage des flux financiers illégaux.



    Dire le contraire, c’est se soumettre a la crainte que veulent faire passer les autorités qui ont saisi ces serveurs TOR…



    D’ailleurs, si des données permettant de retrouver les auteurs de la diffusions de ce ransomware sont retrouvés, alors certains chercheront a faire évoluer les nœuds TOR pour ne plus rien stocker du tout autrement qu’en RAM.



    La course au chiffrement et a l’anonymisation est maintenant lancée a grande vitesse depuis l’affaire snowden et les révélations successives faites sur les techniques utilisée pr la NSA, la CIA et le GCHQ pour espionner le monde entier. Bien sur elle a tjrs existé, mais son accélération est tout de même flagrante. Il suffit de regarder l’intégration de puces de chiffrement dans les appareils grand publics.

votre avatar







Paladin_Fr a écrit :



Oui et non… Si tu diminues le nombre de nœuds de confiance et que tu augmentes le nombre des nœuds contrôlé par la police etc tu augmentes la probabilité de chopper les gars qui utilisent tor  pour des activités illicites. Enfin je suppose…





Théoriquement oui, mais je doute que la saisie de quelques nœuds en France suffisent pour ça. Comme l’a rappelé Aeris22, un circuit TOR passe obligatoirement par plusieurs pays.



Pour moi, soit il n’y connaissent rien, soit ils tentent de faire du FUD.


votre avatar







teddyalbina a écrit :



Sur mon tel, chiffrage + VPN





Tu fais de la comptabilité avec ton téléphone ?


votre avatar

Il fut un temps où la CNIL recommandait TOR pour surfer et préserver la confidentialité.

votre avatar

Voila! La prochaine fois que vous crevez, vous pourrez signifier que c’est l’asphalte de l’autoroute empruntée qui a usé votre pneu et porter plainte contre celle-ci. Peu importe la raison de la crevaison.

votre avatar

J’ai mieux. Si vous vous faite cambrioler, allez demander a la mairie que la rue devant chez vous soit interdite d’accès car c’est celle-ci que le cambrioleur a emprunté.&nbsp;

votre avatar







aeris22 a écrit :



La réponse est simple 0. Il n’y a aucun log sur les nœuds Tor. Jamais.

Partant de là…







Jamais, ou alors, par défaut ça logge pas ?



La question, c’est plutôt, parmi tous les nœuds tor, quelle est la probabilité que l’un d’entre eux soit mal configuré, et donc se retrouver à logger trop de choses ? Et une fois cette probabilité établie (mettons qu’elle soit de 5%, ce qui me semble faible), est-ce que ce ne serait pas suffisant pour retrouver des traces, surtout dans le cadre d’une saisie massive ?



L’autre option étant celle d’ActionFighter, et la vérité probablement un mix des deux (on verra bien si on trouve quelque chose, et en attendant ça nique la gueule à Tor).


votre avatar







ActionFighter a écrit :



Théoriquement oui, mais je doute que la saisie de quelques nœuds en France suffisent pour ça. Comme l’a rappelé Aeris22, un circuit TOR passe obligatoirement par plusieurs pays.



Pour moi, soit il n’y connaissent rien, soit ils tentent de faire du FUD.





C’est bien sur evident. Ce sont des techniques sauvages qui auront des consequences: les noeud se dupliqueront dans des pays plus interessants et ils auront tout gagne.

Tiens ca me rappelle quand les pratiques d’espionnage ont ete revelees. Maintenant SSL est partout et pour tout. Bravo les gars.


votre avatar

Non, par défaut les nœuds ne loggent rien. Je pense même que techniquement, rien n’est codé pour permettre un tel journal. La proba de tomber sur un nœud qui log quelque chose est donc vraiment très très très très faible. Je dirais même qu’elle est de 0 sans prendre beaucoup de risque (sinon un nœud malveillant).

votre avatar

Je connais mal tor, mais c’est juste un service qui tourne le plus souvent sur un linux ou bsd, non ? Donc t’as une debian (par exemple) standard, et dessus un service tor. Ou alors, tu as une vraie distribution « tor-box » clé en main qui garantit que tout est bien configuré ?



Je crois volontiers que le service en lui-même ne logge rien, en revanche, on peut peut-être trouver des traces à d’autres endroits (logs kernel / iptables, par exemple).

votre avatar

J’ai un beau frère qui est persuadé que la NSA est capable de décrypter (j’utilise le bon terme) les messages qu’on envoie depuis un ProtonMail ou un Silence.

Même après que je lui ai dit que la NSA n’avait pas pu repérer les messages de Snowden.

votre avatar

C’est généralement un OS standard sur lequel on vient installer Tor.

Les opérateurs de nœuds sont plutôt bien conscient des problèmes et installent correctement les choses.

Au niveau du kernel ou du firewall, personne n’est assez con pour activer un niveau de log aussi détaillé (IP source/destination pour CHAQUE paquet TCP entrant et sortant). Tu fusilles ta machine en 10min si tu actives un tel log de toute façon (300Mbps de trafic symmétrique dans mon cas = bobo les disques et la latence réseau…).

Et comme déjà précisé, même si un tel log existe, il est inexploitable : tout le trafic sortant de ma machine n’était que de la communication avec d’autres nœuds Tor (donc ni un client final ni un service caché ni quoi que ce soit d’autre qu’un des 6000 autres nœuds Tor du réseau). Donc tu n’en apprendras strictement pas plus que si tu n’avais pas eu ce log.



&nbsp;La collecte des logs sur des nœuds Tor n’est pas décemment pas envisageable si tu veux remonter à une source ou à une destination. Va te falloir trouver autre chose. Et donc arrêter de saisir les nœuds.

votre avatar

Non, il n’y a pas de MAC dans la trame TCP. MAC c’est au niveau de la couche de liaison (couche 2 OSI), ça ne passe pas le 1er routeur et ça se retrouve encore moins dans le gros ternet (couche 3&4).

votre avatar







Aloyse57 a écrit :



Je peux me tromper, mais dans la trame TCP, il y a la MAC. A moins d’en changer continuellement, le modem est traçable, non ?





J’ai mis en gras la partie correcte de ta phrase.

Non, pas d’adresse MAC dans une trame TCP.

L’adresse MAC reste locale au réseau, par exemple dans une trame Ethernet ou Wi-Fi qui elle encapsule une trame TCP.



Je considère que quelqu’un qui veut cacher son adresse IP a fait le nécessaire pour configurer sa machine pour que l’IP V6 n’utilise pas l’adresse MAC pour construire son adresse IP.


votre avatar







Aloyse57 a écrit :



Je peux me tromper, mais dans la trame TCP, il y a la MAC. A moins d’en changer continuellement, le modem est traçable, non ?





L’adresse mac se trouve en couche 2 (donc pas TCP couche 4 ni IP couche 3) et cette couche se fait modifier chaque fois que tu traverses un équipement de niveau 3. Donc non, tu ne peux pas t’appuyer là dessus. De toute façon, jusqu’à preuve du contraire, ce n’est pas une preuve juridique. Par contre ipv6 fait fuiter la mac mais c’est facilement désactivable.



Edit: multi-barbeuc


votre avatar







Carpette a écrit :



Pour info, un serveur/client (car on est automatiquement serveur et client) I2P est inclus dans Tails.





Ça n’est plus le cas depuis la version actuelle pour cause d’absence de dev pour maintenir


votre avatar

j’espére ct de l’humour parce que ta remarque est complètement facho !

votre avatar

Apparemment y’a un petit ver mineur de bitcoins qui a été découvert en même temps. Un peu plus discret lui par contre <img data-src=" />

votre avatar

après Wannacrypt il y a Adylkuzz qui s’introduit dans des PC vulnérables grâce à la même faille de Windows utilisée par WannaCry, un problème détecté par la NSA

votre avatar

Adylkuzz bloque le port 445 et a limiter impact de wannacry .&nbsp;D’ailleurs adylkuzz ne mine plus de Monero la pool utiliser sans consentement &nbsp;a blacklisté les adresses utilisées

votre avatar

Vous vous cassez le cul à débattre alors que les mecs qui ont fait ça ont peut être tout simplement acheter des smartphones + cartes sim prépayées jetables.



Car oui un bon hackeur sait lancer une attaque de n’importe quel point d’entrée.



Donc à mon avis les équipements qu’ils cherchent à traquer sont déjà depuis longtemps recyclés ou entrain d’attendre leur tour en centre de tri pour déchets.



Vu l’ampleur de l’attaque, je doute que les mecs aient fait un One Shot après 2 jours de préparation seulement.



A mon avis, ca planait depuis des mois, ils attendaient juste une opportunité de passer à l’action.



Une opportunité où les différents services de sécurité et de protections soient occupés ailleurs et n’aient pas les yeux sur leur activité à ce moment là.



Et vu que les attaques semblent avoir massivement voyagé depuis la France, je dirais que cette occaz’ c’était Monsieur Macron en personne <img data-src=" />



Après ce n’est que mon avis mais le rapprochement des dates + les infos qu’on a pour le moment, ca me parait gros pour qu’il n’y ait pas de coïncidence.

votre avatar

Je ne comprends pas pourquoi.&nbsp; Meme s’il y a 6 couches de chiffrement et N relays, il y a eu connexion avec les metadatas associés. Donc la possibilité statistique sur 10min si tu possèdes tous les logs de connexion de toutes les machines de calculer des proba des sources/targets reste possibles.



Peut etre que pour une target avec un nombre de connexion faible c’est peu probable d’avoir des chiffres probants.&nbsp; Je rejoints, NetworkSecExpert, une attaque de cette taille avec les logs associés doit necessairement augmenter la surface de detection pour trouver les cibles.&nbsp;



En passant, 1TB de metadata/semaine pour une machine, on ne parle meme pas encore de big data.

votre avatar

&gt; si tu possèdes tous les logs

de connexion de toutes les machines



Tu peux t’arrêter là. Comme signaler, il n’existe aucun log de cet ampleur. Même la NSA ne doit pas avoir un tel truc.

&nbsp;

Même si de tels logs existaient, il faudrait la participation de l’ensemble des pays pour espérer pouvoir faire cette corrélation. Les nœuds en Afghanistan, en Suisse, aux Pays-Bas ou autres zones très protectrices (ou très j’en-foutisme, c’est selon), tu vas pouvoir te brosser pour les avoir.

&nbsp;

Et même si tu les as, tu te retrouves avec des terrachiés de bouzillions d’information qui sont totalement inexploitables. Parce qu’on ne parle que de 1To de données au total pour mon nœud, mais il y en a un peu plus de 6000 nœuds en tout, dont des 3× plus rapides que moi. Et les informations nécessaires à la corrélation doivent être sur les paquets IP, qui transitent sur des dizaines de routeurs rien que pour faire client Tor → guard.

&nbsp;

Et même si tu es arrivé ici, comme signalé plus haut, un nœud Tor établit des milliers de connexions avec ses petits voisins, donc pour un unique paquet qui arrive sur un nœud Tor, c’est un bon millier de connexions sortantes qu’il va te falloir analyser. ×3 couches (3 nœuds Tor par circuit Tor). Pour chaque paquet IP. Sur des liens à 100Mbps minimum voire 1Gbps pour les plus gros nodes.



Bref, à chaque seconde, ce sont des milliards de connexions possibles qu’il va falloir que tu parviennes à discriminer pour savoir laquelle correspond réellement au morceau que tu connais (client Tor→guard). Une fois passé le 1er nœud, tu ne peux que constater qu’il existe un bon milliard de circuits Tor établit à l’instant T de l’arrivée du paquet au cul du guard, sans avoir aucune possibilité de savoir quel circuit est réellement celui utilisé pour la communication de ton client Tor.



Et tous ces circuits sont en plus absolument indiscriminables les uns des autres en se basant uniquement sur des méta-données IP.



Tu es donc fucked. Point. Même avec l’historique complet mondial des méta-données TCP/IP.



Les 2 seules attaques théoriques sur le réseau Tor est l’attaque Sybil, puisque si quelqu’un contrôle plus de 66% des nœuds Tor, il a une chance non nulle d’avoir au moins 2 machines à lui sur les 3 d’un circuit Tor et donc de pouvoir désanonymiser tout le trafic qui passe par 2 de ses machines. C’est pour ça qu’on a fait blacklister immédiatement les machines saisies, pour qu’une telle attaque ne puisse pas être possible.

L’autre attaque est le flux shaping. Tu modules le trafic client→guard de manière à avoir un profil de trafic « reconnaissable », ce qui te permet de justement pouvoir discriminer les 1000 flux derrière puisque seuls ceux avec un profil compatible vont t’intéresser. C’est un problème difficile à résoudre pour les réseaux à faible latence comme Tor (I2P n’est pas à faible latence et fixe ce problème en lissant tout le trafic entre les nœuds).

votre avatar

Il va surement le récupérer en même temps que sa fiche S, il pourra changer son pseudo en Saeris22.

votre avatar







soupêtte a écrit :



Ça n’est plus le cas depuis la version actuelle pour cause d’absence de dev pour maintenir





Ah merde. Enfin ca peut se comprendre. De toute facon si tor se trouvait trop faible, on migrerait en masse vers I2P et la finit les emmerdes pour un long moment. Mais bon I2P c’est un peu chiant a mettre en place (ca me rappelle le bon vieux temps d’ed2k).


votre avatar

Merci pour cette réponse.&nbsp;



Ce qu’il faut prendre en compte c’est l’ampleur de l’infection (+/- 200&nbsp;000) qui pese statistiquement, le nombre de pays touché permettant une collaboration plus aisée, et la connaissance des IP et des timestamps sources.



Après pour être capable de répondre mathématiquement si oui ou non c’est possible il faudrait plus d’information sur notamment la fréquence d’utilisation de TOR par le malware, combien de noeuds ont pu avoir leurs logs de connexions saisies.



La question de la volumetrie de data n’est pour moins pas une problématique.

votre avatar

&gt; combien de noeuds ont pu avoir leurs logs de connexions saisies.



La réponse est simple 0. Il n’y a aucun log sur les nœuds Tor. Jamais.

Partant de là…

votre avatar

Cette affaire a fournit une occasion en or pour accuser TOR, saisir des relais même si cela ne sert à rien pour l’enquête, et continuer à discréditer TOR dans l’opinion publique, ainsi que faire peur / dissuader les relais.

L’état n’en a rien à foutre de WannaCry qui infecte les entreprises et les administrations laxistes… mais fera tout pour lutter contre TOR, dissuader et menacer quiconque le facilite et l’utilise, puisqu’il s’agit du dernier espace de secret qu’il ne contrôle pas.

WannaCrypt : des nœuds Tor saisis par les autorités françaises

  • L'OCLCTIC de bon matin

  • Des disparitions inexpliquées

Fermer