WannaCrypt : des nœuds Tor saisis par les autorités françaises

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Quand l'oignon pleure

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

17/05/2017 3 minutes
159

WannaCrypt : des nœuds Tor saisis par les autorités françaises

Entre vendredi et lundi, plusieurs relais français du réseau d'anonymisation Tor ont disparu des écrans radar. Selon nos informations, ils ont été réquisitionnés par la justice, dans le cadre de l'enquête sur le ransomware WannaCrypt, qui s'appuie sur Tor pour communiquer avec son serveur de contrôle.

Il y a du trafic qu'il ne vaut mieux pas relayer. Celui du ransomware WannaCrypt, qui a infecté plus de 200 000 appareils dans le monde en quelques jours, mettant à mal certains systèmes industriels, en fait partie. Rapidement ciblé par plusieurs enquêtes, notamment d'Europol, il est à l'origine de la réquisition de plusieurs nœuds du réseau Tor chez des hébergeurs français.

Pour mémoire, WannaCrypt s'appuie sur une faille conservée par les services de renseignement américains, pour infecter des systèmes Windows obsolètes via le protocole réseau SMBv1. Pour communiquer avec le serveur de commande et contrôle (C&C), c'est Tor qui est utilisé. Du point de vue de la victime, c'est donc le nœud d'entrée du réseau « anonyme » qui est visible.

L'OCLCTIC de bon matin

Au moins trois serveurs ont ainsi baissé le rideau ce week-end, suite à la visite de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) chez ces acteurs, saisissant le contenu de ces relais. Il s'agirait de « guard nodes », c'est-à-dire de points d'entrée de confiance pour le réseau Tor, à la fois par leur disponibilité et leur bande passante.

Selon nos informations encore, ces disparitions sont dues à « une très grande vague » de perquisitions et saisies, concernant au moins plusieurs dizaines de disques durs. « Tous les relais Tor qui ont participé à cette attaque ont été saisis » nous affirme-t-on. Les principaux hébergeurs français seraient concernés par cette salve. 

Des disparitions inexpliquées

L'intervention de l'OCLCTIC pourrait suivre une demande de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Contactée, cette dernière n'a pas encore répondu à nos sollicitations.

« On a épluché les journaux du consensus des nœuds Tor. Entre vendredi et lundi, des dizaines de gros nœuds ont disparu du réseau. Il n’y a pas de raison que de tels nœuds disparaissent comme ça » affirme par ailleurs un spécialiste de Tor, contacté par nos soins. Au moins une partie des relais ont été coupés volontairement, sans intervention des autorités.

Interrogé, OVH n'a pas répondu à nos demandes. Pour leur part, Gandi et Online se sont refusés à tout commentaire. Enfin, le ministère de l'Intérieur refuse de s'exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

L'OCLCTIC de bon matin

Des disparitions inexpliquées

Fermer

Commentaires (159)




Enfin, le ministère de l’Intérieur refuse de s’exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

En même temps normal, ils sont tous à attendre la nomination du nouveau gouvernement&nbsp;<img data-src=" />


Mozilla va en remettre en service rapidement?


Quand on vous sit que ce sont des criminels chez TOR… A la fois les concepteurs, les utilisateurs et ceux qui hébergent les noeuds….

Je te mettrais tout ca en prison, notre sécurité a tous en dépend.


Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l’epoque de razorback, je ne vois franchement pas l’utilite.








Carpette a écrit :



Ah bah tiens. Et ils esperent trouver quoi sur ces relais exactement ? Les logs etant probablement en RAM comme a l’epoque de razorback, je ne vois franchement pas l’utilite.







Faire croire au peuple que la situation est sous contrôle et que les autorités savent ce qu elles font ?



Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.


c’est ce que tous le monde pense , il y toujours des logs quelque par ,&nbsp;

les fai et hébergeur sont obligé de loggé les activités entré sorti , aussi sous certaine loi les logs sont obligatoire et les Os garde souvent des trace de connexion, en plus si ils font tombé les noeuds les arnaquer de wanna crypt vont se faire plus facilement repéré&nbsp;

même si tor ne log rien qui dit que le host lui n’a pas un syslog de configuré pour enregistré les va et vient de la machine




Enfin, le ministère de l’Intérieur refuse de s’exprimer sur une enquête

en cours. Il renvoie vers le parquet de Paris, injoignable pour le

moment.



Lequel ? Le nouveau ou l’ancien ?<img data-src=" />








aeris22 a écrit :



Les logs ? Quels logs ? Il n’y en a juste pas sur les relais Tor.





Donc y’a vraiment rien a chopper. A part les versions installes des differents modules mais je vois pas ce qu’on peut en tirer, d’autant qu’il s’agit certainement des dernieres.

Qu’est ce que c’est que ce foutage de gueule.



Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.

Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.








aeris22 a écrit :



Je suis un des nœuds saisis. Je te garanti qu’il y a 0 log. Rien n’est tracé, rien n’est stocké. Aucune information utile, aucune IP, aucun journal.

Et même si log il y avait, je n’étais de toute façon que le 1er maillon de la chaîne Tor qui en comporte 3, donc sans aucune information sur la vraie machine liée à l’infection Wannacry. La seule machine que je voyais était la machine infectée en entrée, et un autre nœud Tor (le middle cette fois) en sortie. Rien d’autre.





Si le noeud est chez un hébergeur, lui doit avoir des logs de de qui entre et sort sur le noeud



Faut-il encore rappeler de nos jours que Tor a été inventé par le laboratoire de recherche de la marine américaine…?








Drepanocytose a écrit :



Si le noeud est chez un hébergeur, lui doit avoir des logs de de qui entre et sort sur le noeud





Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;









Mickael Knight a écrit :



Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;





Des metadata, oui









MeGusta a écrit :



Faut-il encore rappeler de nos jours que Tor a été inventé par le laboratoire de recherche de la marine américaine…?





Et ?









Mickael Knight a écrit :



Tu crois sincèrement qu’un hébergeur va logger des GB voire des TB de trafic par jour ? :p&nbsp;





Ben… c’est juste la loi.









Ricard a écrit :



Et ?





Et donc c’est super, Tor, pour nager en eaux troubles <img data-src=" />









Ricard a écrit :



Et ?





Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;



Ils n’ont pas ce genre de log. Et même s’ils l’avaient, ça ne servirait strictement à rien dans le cadre de l’enquête. Aucune des IP dedans n’est responsable dans l’infection Wanacry (une des machines est la machine infectée, l’autre est juste l’équivalent d’une porte d’entrée publique permettant de communiquer avec le réseau Tor).








MeGusta a écrit :



Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;





Quel rapport avec la Marine américaine ? Et quand à l’anonymat impossible, je ne suis pas d’accord avec ça.



Non. Online n’a aucune obligation de stocker ce genre d’information. Ce niveau de détail serait de toute façon instockable tellement les informations seraient collosales (mon nœud Tor générait 300Mbps de trafic en continu, soit 1To de données par semaine).


Perso je fais VPN + TOR, sur mon pc, sur mon téléphone Tor + Tor bridge + VPN


exacte&nbsp;

moi-même je log les in et out de mon réseau via le routeur avec syslog et un dossier séparé pour le serveur mincraft/l4d/tf2








aeris22 a écrit :



Non. Online n’a aucune obligation de stocker ce genre d’information. Ce niveau de détail serait de toute façon instockable tellement les informations seraient collosales (mon nœud Tor générait 300Mbps de trafic en continu, soit 1To de données par semaine).





Online, c’est français ? Si oui, il doit stocker les méta.









Ricard a écrit :



Quel rapport avec la Marine américaine ? Et quand à l’anonymat impossible, je ne suis pas d’accord avec ça.





Armée =&gt; traçabilité ?



Tu me diras, on arrive bien à être anonyme IRL, pourquoi pas sur internet… Mais il y a toujours un nœud qui conduit à un autre nœud, etc…

&nbsp;



Ca permettra de tracer l’ordre des machines infectées








Drepanocytose a écrit :



Des metadata, oui









Ricard a écrit :



Ben… c’est juste la loi.





+1000

<img data-src=" />

&nbsp;

&nbsp;Il faudrait quand même un jour que les gens se rendent compte des obligations des opérateurs télécoms

Toutes les connexions sont logguées

&nbsp;









aeris22 a écrit :



Ils n’ont pas ce genre de log. Et même s’ils l’avaient, ça ne servirait strictement à rien dans le cadre de l’enquête. Aucune des IP dedans n’est responsable dans l’infection Wanacry (une des machines est la machine infectée, l’autre est juste l’équivalent d’une porte d’entrée publique permettant de communiquer avec le réseau Tor).

&nbsp;



une fois ta le ip d’une victime tu peux commencer le traçage du ip et &nbsp;hélas &nbsp;tor est plus un problème &nbsp;qu’une solution ,&nbsp;

&nbsp;









Joe Le Boulet a écrit :



+1000

<img data-src=" />

&nbsp;

&nbsp;Il faudrait quand même un jour que les gens se rendent compte des obligations des opérateurs télécoms

Toutes les connexions sont logguées

&nbsp;





Article 1 de la LCEN de 2001. On en a déjà largement parlé sur Nxi.<img data-src=" />









teddyalbina a écrit :



Perso je fais VPN + TOR, sur mon pc, sur mon téléphone Tor + Tor bridge + VPN





Si ton VPN est sur le territoire français, ton fournisseur à l’obligation de garder les logs. Donc tu es semi anonyme.



loi no 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme -&gt; l’article 6, qui impose aux opérateurs télécoms, aux fournisseurs d’accès (FAI), mais aussi à tout établissement public proposant un accès internet, comme les cybercafés, de conserver les données de connexion (logs) pendant un an








MeGusta a écrit :



Armée =&gt; traçabilité ?



Tu me diras, on arrive bien à être anonyme IRL, pourquoi pas sur internet… Mais il y a toujours un nœud qui conduit à un autre nœud, etc…

&nbsp;





Tor est un logiciel libre (BSD 3 compatible GPL) donc même si ce soft sortait tout droit de la NSA, impossible d’y cacher une backdoor (du moins à long terme). Ensuite, tu te connectes chez MacDo depuis le parking. Tu peux logguer ce que tu veux, ça n’a aucune importance. D’ailleurs, Kevin Mitnick vient de sortir un papier très intéressant là-dessus.<img data-src=" />









MeGusta a écrit :



Si ton VPN est sur le territoire français&nbsp;



je ne suis pas sûr que ce soit le cas de la majorité des VPN…

&nbsp;



Ha, j’ai sorti l’article 6 de la loi contre le terrorisme, que dit cet Article 1 de la LCEN ?








lordofkill a écrit :



c’est ce que tous le monde pense , il y toujours des logs quelque par ,&nbsp;

les fai et hébergeur sont obligé de loggé les activités entré sorti , aussi sous certaine loi les logs sont obligatoire et les Os garde souvent des trace de connexion, en plus si ils font tombé les noeuds les arnaquer de wanna crypt vont se faire plus facilement repéré&nbsp;

même si tor ne log rien qui dit que le host lui n’a pas un syslog de configuré pour enregistré les va et vient de la machine





LOL.



Je peux te garantir que si tu crée un noeud TOR t’as pas de SysLog ou quoi que se soit d’autre d’activé non plus….



Que le FAI sache quelle IP a contacté le noeud personne en a rien a battre dans la mesure ou derrière il leur est impossible de savoir quoi que se soit d’autre…

&nbsp;



Oui mais tu peux logger uniquement le fait de s’être connecté à un service VPN ou bien à Tor, c’est pas un crime en soit.








oXis a écrit :



Ha, j’ai sorti l’article 6 de la loi contre le terrorisme, que dit cet Article 1 de la LCEN ?





&nbsphttps://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-…









oXis a écrit :



Oui mais tu peux logger uniquement le fait de s’être connecté à un service VPN ou bien à Tor, c’est pas un crime en soit.





J’ai jamais dit que c’était un crime ;)









Ricard a écrit :



Tor est un logiciel libre (BSD 3 compatible GPL) donc même si ce soft sortait tout droit de la NSA, impossible d’y cacher une backdoor (du moins à long terme). Ensuite, tu te connectes chez MacDo depuis le parking. Tu peux logguer ce que tu veux, ça n’a aucune importance. D’ailleurs, Kevin Mitnick vient de sortir un papier très intéressant là-dessus.<img data-src=" />





SI tu as un lien je suis preneur ! (c’est ça l’INpactitude). Mais bon, vu son passé…&nbsp;



Vu que la LCEN date de 2004, et que l’article 1 de la LCEN est la définition de ce qu’est un réseau, je vois mal en quoi un hypothétique article 1 de 2001 imposerait quoi que ce soit à une entité comme Online (qui n’est pas hébergeur de contenu, mais opérateur de réseau).








tpeg5stan a écrit :



je ne suis pas sûr que ce soit le cas de la majorité des VPN…

&nbsp;





Effectivement, mais du coup, si tu ne te renseignes pas avant l’achat, c’est cuit ‘-’



Haha, non non c’est pas une crime :)

Je veux juste dire que le log est inutile. Tu peux rien en faire.








MeGusta a écrit :



Il y a toujours une trace. L’anonymisation totale est tout simplement impossible.&nbsp;





Ahahahahahahahahahahah



Ahahahahahahahahahahhaha



Ahahahahahahahahahahahahah



je m’arrête la.. mais j’ai bien ris…



&nbsp;



Oula… Jamais, au grand jamais, de Tor over Tor. cf le risque de passer par le même nœud.



Et VPN over Tor est inutile aussi, ça ne fait que faire passer en VPN via Tor, donc aucune anonymisation supplémentaire. De plus, en France, les VPN sont légalement obligatoirements loggés.








YohAsAkUrA a écrit :



Ahahahahahahahahahahah



Ahahahahahahahahahahhaha



Ahahahahahahahahahahahahah



je m’arrête la.. mais j’ai bien ris…







En tout cas il me semble que TOR sur windows est loin d’être anonyme à ce que j’ai pu lire.



trouvé vite fait :



https://www.nextinpact.com/news/88527-nsa-surveillance-reseau-tor-plus-serree-qu…



après il me semble qu’il faut utiliser TOR avec une certaine distribution de linux pour arriver, semble-t-il, à être anonyme



L’anonymité au sein même du réseau Tor, donc quand tu accèdes à des domaines .onion est quasi parfaite. Mais une fois que tu sors du réseau elle n’est plus 100% garantie. Des chercheurs ont réussit à lever l’anonymat de certaines personnes en analysant les patterns de connexion. Quand tu te connectes toujours du même pc à Tor, en analysant les noeuds de sortie tu peux faire des déductions.








MeGusta a écrit :



Effectivement, mais du coup, si tu ne te renseignes pas avant la location, c’est cuit ‘-’





<img data-src=" />



Si je monte un VPN pour mon usage exclusif je suis sensé le logguer ?

Certain qu’il y a quelque chose comme “un accusé n’est pas obligé de se charger lui-même” en Droit qui fait qu’on peut bien s’assoir là-dessus pour ce cas-ci


C’est Tails la distribution, Kali est aussi utilisable.



La disparition de ces noeuds expliquent pourquoi c’était lent ces derniers jours par moment (bon tout dépend d’où tu sors)., moi qui avait besoin de ma dose de vidéo pedonazi-terroiste lunaire*











* matez IronSky, c’est complètement décalé comme film.








oXis a écrit :



L’anonymité au sein même du réseau Tor, donc quand tu accèdes à des domaines .onion est quasi parfaite. Mais une fois que tu sors du réseau elle n’est plus 100% garantie. Des chercheurs ont réussit à lever l’anonymat de certaines personnes en analysant les patterns de connexion. Quand tu te connectes toujours du même pc à Tor, en analysant les noeuds de sortie tu peux faire des déductions.






et explique moi donc comment une personne peut definir que tu utilises toujours le même pc pour te connecter dans la mesure ou la seule info qui sort de chez toi c'est ton IP Publique ?     





Je peux te garantir qu’aujourd’hui c’est vraiment pas difficile de naviguer sur le web de manière 100% anonyme en combinant l’utilisation de VPN dans des pays ou il n’y a aucune obligation a loger quoi que se soit combiné a du TOR et d’autres applis sous une distrib Tails………



Si demain je vais au Mcdo et que je me connecte a un VPN en malaisie pour ensuite utiliser un Noeud tor a X ou Y endroit , la seule chose que le Fai du Mcdo va voir c’est un traffic crypté d’un point A a un point B et aucune moment ce qui se passe derrière ni même ce qui revient… puis si vraiment je veux utiliser des access point publics j’ai qu’a changer d’adresse Mac a chaque fois que je me connecte….



aucun pirate ne lance une attaque malware comme WannaCrypt du fond de sa chambre hein ;)

&nbsp;



Si il est autohébergé, pas de problème là <img data-src=" />.



Mais inutile de mettre un VPN si c’est pour passer via Tor.








YohAsAkUrA a écrit :



Si demain je vais au Mcdo et que je me connecte a un VPN en malaisie pour ensuite utiliser un Noeud tor a X ou Y endroit , la seule chose que le Fai du Mcdo va voir c’est un traffic crypté d’un point A a un point B et aucune moment ce qui se passe derrière ni même ce qui revient… puis si vraiment je veux utiliser des access point publics j’ai qu’a changer d’adresse Mac a chaque fois que je me connecte….




 aucun pirate ne lance une attaque malware comme WannaCrypt du fond de sa chambre hein ;)       

&nbsp;







Ok pour ton IP. Mais et les autres infos récupérées à ton insu ? Adresse Mac, peut être le numéro de série du portable avec lequel tu te connectes etc.

Ce n’est pas parce qu’un système se dit safe n secure, qu’il l’est.



Jusqu’à présent, il a été démontrè au contraire que pour que quelque chose soit sécurisé, il ne doit JAMAIS être connecté au net !



Du coup, s’il la lance pas de sa chambre, il la lance de son bureau ?&nbsp;



Ha mais tu as tout à fait raison, VPN dans un pays sans contrôle + Freenet/Tor/I2P c’est robuste, mais c’est pas 100% infaillible, y’a toujours des traces. Aucun système n’est parfaitement sécurisé, aucun système n’est parfaitement anonyme, y’a toujours un point faible.



Le mec de SilkRoad c’est fait choper car il a utilisé le même pseudo sur stackoverflow et ils ont ensuite vu qu’il se connectait souvent à Tor, alors c’est pas une faiblaisse du réseau Tor, mais ça monte que t’es jamais 100% couvert.



Je parlais de ce payer dans mon post (il me semble que c’est lui)-&gt;http://sec.cs.ucl.ac.uk/users/smurdoch/papers/oakland05torta.pdf








MeGusta a écrit :



SI tu as un lien je suis preneur ! (c’est ça l’INpactitude). Mais bon, vu son passé…&nbsp;





http://www.toolinux.com/Les-secrets-de-Kevin-Mitnick-sur-l <img data-src=" />









aeris22 a écrit :



Vu que la LCEN date de 2004, et que l’article 1 de la LCEN est la définition de ce qu’est un réseau, je vois mal en quoi un hypothétique article 1 de 2001 imposerait quoi que ce soit à une entité comme Online (qui n’est pas hébergeur de contenu, mais opérateur de réseau).





2011, pas 2001 ;) et c’est pour ça que je t’ai demandé si Online était hébergeur. Auquel cas, c’est toi l’hébergeur.









oXis a écrit :



Ha mais tu as tout à fait raison, VPN dans un pays sans contrôle + Freenet/Tor/I2P c’est robuste, mais c’est pas 100% infaillible, y’a toujours des traces. Aucun système n’est parfaitement sécurisé, aucun système n’est parfaitement anonyme, y’a toujours un point faible.





Comme celà a été dit précedement TOR + VPN est contre-productif, merci de ne pas participer à répandre des pratiques dangereuses.









Ricard a écrit :



http://www.toolinux.com/Les-secrets-de-Kevin-Mitnick-sur-l <img data-src=" />





Merci pour le lien.

L’intitulé dit bien “se prémunir”.&nbsp;









jeje07bis a écrit :



&nbsp;



après il me semble qu’il faut utiliser TOR avec une certaine distribution de linux pour arriver, semble-t-il, à être anonyme





Tails. <img data-src=" />



Pardon monsieur, je ne referais pas cette erreur <img data-src=" />








MeGusta a écrit :



Merci pour le lien.

L’intitulé dit bien “se prémunir”.&nbsp;





Prémunir: verbe transitif:

&nbsp; Protéger quelqu’un contre un mal, le mettre à l’abri d’un danger (Larousse)



Ensuite, c’est le titre de l’article de Toolinux, ça ne reflète en rien la qualité et la véracité du bouquin.<img data-src=" />









oXis a écrit :



Haha, non non c’est pas une crime :)

Je veux juste dire que le log est inutile. Tu peux rien en faire.





On est d’accord.



il vont pas y trouver grand chose… ca garde pas de logs ces bidules la…


Je ne suis pas hébergeur de contenu. Je n’ai même aucun contenu.

Je suis équivalent ou en tout cas plus proche d’Online (je fournis un réseau dans le réseau, je ne fais que véhiculer des petits paquets dont je n’ai même aucune sorte d’idée de ce que ça peut bien être) que d’un hébergeur (hébergement du contenu). Et aucune loi n’impose de loger quoi que ce soit dans ce cas.



Les seules obligations actuelles que je connaisse sont

1- obligation de log des IP distribuées à leurs clients par les FAI (date, IP et identité du client)

2- obligation de log côté serveur web d’un hébergeur (date, IP du visiteur, contenu visité)




Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication





Sacré nom <img data-src=" />


Du coup, sais-tu si tu as une chance de revoir ton serveur un jour ?








MeGusta a écrit :



Ok pour ton IP. Mais et les autres infos récupérées à ton insu ? Adresse Mac, peut être le numéro de série du portable avec lequel tu te connectes etc.

Ce n’est pas parce qu’un système se dit safe n secure, qu’il l’est.



Jusqu’à présent, il a été démontrè au contraire que pour que quelque chose soit sécurisé, il ne doit JAMAIS être connecté au net !



Du coup, s’il la lance pas de sa chambre, il la lance de son bureau ?&nbsp;





comme dit avec mon edit (j’ai voulu allez plus en detail après coup)&nbsp;

Le MAC Spoofing ça existe. et sous bien des distrib linux il est impossible de recuperer le numéro de série de ton laptop ou quoi que se soit comme identification unique.









Tout cela était surtout pour repondre au fait que :&nbsp;



“Aujourd’hui il est impossible d’être 100% anonyme”



Et bien oui , c’est possible. Si t’as besoin d’être 100% anonyme a un moment donné , c’est possible. mais biensur faut pas faire de la navigation 100% anonyme en permanence sinon a force, on peut finir par faire du regroupement de données et definir que tu est monsieur 294841531 sur internet avec des habitudes précises.





Mais si demain je veux lancer un truc aussi dégueulasse que Wannacrypt, il n’y a rien de plus simple pour ne jamais pouvoir être retrouvé avec un oneshot…

&nbsp;



Je préfère ne pas compter dessus :P

Il y a certainement une chance non nulle, mais dans trop longtemps et sans garantie. Donc autant considérer les données perdues (et ça sert à ça les backups, se protéger de Wannacry et se protéger de ceux qui ne se sont pas protégés de Wannacry :P)








Ricard a écrit :



&#160https://blog.crimenumerique.fr/2011/03/04/decret-dapplication-de-la-lcen-sur-la-…







On parle de 2 choses dans ta page :




  1. les obligations des FAI (pour leur travail de FAI) : stocker les dates et heures + adresse IP pendant 1 an



    Cela ne s’applique pas à la gestion d’un nœud TOR.



  2. les obligations des hébergeurs pour de la création de contenu. Je ne détaille pas ce qu’il faut stocker puisque l’on est aussi hors sujet.



    Quelqu’un qui gère un nœud TOR n’est aucun des 2.



La saisie va permettre se remonter les commanditaires assez simplement… car le virus Wannacrypt téléchargeait le client tor pour pouvoir communiquer avec le serveur de contrôle hébergé en “hidden service”.



Pour remonter la source du serveur de commande, au vu du nombre d’infection, &nbsp;les choses vont aller très vite.



Le principe est le suivant, admettons que certains hébergeurs conservent les métadonnées de connexions ou que ces métadonnées soit obtenues d’une façon ou d’une autre (via par exemple les systèmes de surveillances des télécommunications nationaux) alors ils vont procéder de la sorte par recoupement :





  1. Récupération des connexions massives aux nœuds d’entrées via les métadonnées et récupérations des métadonnées de sorties de ces serveurs



  2. Récupération des serveurs “middle” ayant reçus massivement les connexions des premiers serveurs saisis, toujours via les métadonnées; Analyses de celles-ci pour remonter au nœud de sortie.



  3. Il ne reste plus qu’à mutualiser toutes les informations récupérées des différents pays et par recoupement de trouver le serveur de commande vers lequel un nombre de connexion très important ont été acheminées.





    L’utilisation du réseau tor dans ce cas là permet de se cacher un temps mais pas rétroactivement après analyse et donc j’espère pour les commanditaires qu’ils ont pris leurs dispositions au niveau des traces qu’ils auraient pu laisser sur les serveurs de commande. L’histoire nous le dira, mais pensant ne pas être retracé par l’utilisation de tor de leur virus alors ont-ils surement été imprudent dans l’achat/utilisation/configuration de leurs serveurs de commandes.



    Wait And See.

    &nbsp;








aeris22 a écrit :



Je ne suis pas hébergeur de contenu. Je n’ai même aucun contenu.

Je suis équivalent ou en tout cas plus proche d’Online (je fournis un réseau dans le réseau, je ne fais que véhiculer des petits paquets dont je n’ai même aucune sorte d’idée de ce que ça peut bien être) que d’un hébergeur (hébergement du contenu). Et aucune loi n’impose de loger quoi que ce soit dans ce cas.



Les seules obligations actuelles que je connaisse sont

1- obligation de log des IP distribuées à leurs clients par les FAI (date, IP et identité du client)

2- obligation de log côté serveur web d’un hébergeur (date, IP du visiteur, contenu visité créé)





Tu avais tout bon, sauf le dernier mot !



Pour un hébergeur, il s’agit de savoir qui a créé un contenu pour pouvoir le punir s’il est illégal (injure, diffamation ou toute autre expression contraire à la loi, contenu protégé, …)



Je lui ai répondu à peu près la même chose. C’est quand même dommage de poster un lien sans le lire.









Drepanocytose a écrit :



Quand on vous sit que ce sont des criminels chez TOR… A la fois les concepteurs, les utilisateurs et ceux qui hébergent les noeuds….

Je te mettrais tout ca en prison, notre sécurité a tous en dépend.





Et que fais tu des utilisateurs de Windows, qui parce qu’il utilisent un OS passware, contribuent à redistribuer les virus à leurs voisins en toute impunité ?

Je te mettrais tout ça en prison, notre sécurité à tous en dépend.



Je ne suis pas un expert, mais tu pars du principe que le serveur C&C n’est constitué que d’un seule entité.



Si il y en a plusieurs, toute la démarche tombe à l’eau.


Vu le nombre d’infections et donc de connexions a établir, il faudrait un nombre assez important de serveurs pour qu’ils soient difficiles de les remonter par recoupement.

Si on part sur 200 000 infections avec chacune au minimum 20 connexions au(x) serveur(s) de commande alors ça fait plus de 4 000 000 de requêtes de connexions en l’espace de 3 jours… un trafic inhabituel qui se retrace facilement par recoupement des métadonnées.


Mais dans ton explication ne faut-il pas avoir accès à la fois aux serveurs d’entrée de sortie et aux middle ? Ca ne fait pas beaucoup ?


Laxiste. C’est à cause de gens comme toi que tout part en couilles.

JE RECLAME LA PEINE DE MORT!!!


@soupêtte :




 &nbsp;C'est ce qu'ils vont faire sur un nombre suffisant de serveurs de façon à pouvoir faire les recoupements.        

Les métédonnées vont le permettre car elles contiennent :






  - IP's qui se connectent (système infectés) &nbsp;au premier serveur de la chaîne TOR     

- IP &nbsp;en sortie vers les middle serveurs






  Ils vont faire ça pour chaque étapes : entrée - middle - sortie&nbsp;        








  Ils vont faire ça en chaîne jusqu'à remonter la source des serveurs de commande avec ensuite une analyse par recoupement au niveau des serveurs possiblement identifiés comme serveurs de commandes cette-fois ci au niveau des datacenters qui les hébergent en analysant les flux sur les dits serveurs.

Sauf que:




  1. Pas besoin de saisir des serveurs qui n’ont vraisemblablement aucun logs.

  2. Aucun interet de recuperer les metadonnes de sorties des serveurs TOR

  3. Effectivement se baser sur les metadonnees des hebergeurs est la seule chose a faire. Mais TOR se trouve partout dans le monde notamment des pays ou ces prerogatives n’existent pas. Resultat tu vas identifier une partie de la chaine grace au trafic mais certains maillons manquants vont se trouver dans des coins ou les metriques n’ont pas ete generees.



    Concretement avec tous ces beaux chiffres, tu vas te rendre que des connexions vont en masse vers certains noeuds TOR dans divers pays et fin de l’histoire. D’autant que, comme souvent, les C&C sont variables et places sur des machines deja infectees. Il est extremement rare de remonter au C&C root donc pas trop d’espoir a ce niveau la.


Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.

Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.

Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !

Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !


OK mais tu sous-entends donc qu’ils auront accès à des serveurs à







NetworkSecExpert a écrit :



@soupêtte :




   &nbsp;C'est ce qu'ils vont faire sur un nombre suffisant de serveurs de façon à pouvoir faire les recoupements.          

Les métédonnées vont le permettre car elles contiennent :






    - IP's qui se connectent (système infectés) &nbsp;au premier serveur de la chaîne TOR       

- IP &nbsp;en sortie vers les middle serveurs






    Ils vont faire ça pour chaque étapes : entrée - middle - sortie&nbsp;          








    Ils vont faire ça en chaîne jusqu'à remonter la source des serveurs de commande avec ensuite une analyse par recoupement au niveau des serveurs possiblement identifiés comme serveurs de commandes cette-fois ci au niveau des datacenters qui les hébergent en analysant les flux sur les dits serveurs.







Tu sous-entends qu’ils auront accès à tous ces serveurs (pas impossible en partie avec une bonne coordination internationale) mais ça me paraît un peu facile. Il faudrait beaucoup de serveurs quand même



Nul ne sait vraiment ce qui est écrit dans une machine tant qu’il n’a pas lui-même conçu le programme. C’est un principe de base en sécurité; Rien n’est fiable et sûre.



Après peut-être que je me trompe mais vu l’ampleur, je doute qu’ils saisissent des serveurs sans raisons.



Et je ne parle même pas du fait que les gouvernements peuvent être eux-même propriétaires d’une multitude de serveurs de sortie avec lesquels ils vont pouvoir faire des recoupements encore plus facilement juste en procédent à l’analyse des ip’s de sorties.








aeris22 a écrit :



Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.

Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.

Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !

Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !





1TO de données, c’est une quantité de volume, ça n’a pas signification particulière si ce que pour être grossier dans l’explication, un internaute a téléchargé un fichier de 1TO et que ton serveur s’est trouvé être l’un des points du réseau tor pour son téléchargement.



Ou pas justement. Ça va être du trafic qui va être reporté aléatoirement dans le réseau Tor. Ça va foutre un bordel pas possible pour recouper tout ça. Et en prime ça suppose que tu aies accès aux méta-données (dont je doute déjà de l’existence…) de l’ensemble des nœuds utilisés (donc de 3 pays différents, obligatoirement), pour chaque connexion. Sur 2 millions de connexion (soit 6 millions de sauts Tor, sans parler qu’ils sont renouvelé toutes les 10min…), c’est l’intégralité des logs du trafic planétaire qu’il te faut…



Et si tu as accès à ces méta-données, tu n’as certainement pas besoin de saisir les machines. Qui ne contiennent aucune info de toute façon.


Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.



Dommage que je n’ai pas le courage de mettre en place un serveur de sortie (Je ne veux pas être ennuyé par les problèmes potentiels que ça pourrait générer) avec conservation des métadonnées pour les passer à la moulinette sur le weekend de terreur afin par exemple, d’éliminer les ip connues du 01/2016 au 122016 pour ensuite avoir un échantillon d’ip nouvelles et donc possiblement dans ces ips les ips des serveurs de contrôle.



Les méthodes pour remonter à la source sont assez nombreuses pour des attaques de cette taille.


Les circuits Tor changent toutes les 10min. Et j’ai bien indiqué aussi derrière que j’avais des milliers de connexion ouvertes en permanence sur ma machine.



Donc même en saisissant ma machine, même si j’avais des logs (ce qui n’est pas le cas), tu aurais 1000 machines à aller saisir pour aussi espérer des logs, dans a minima une 10aine de pays, te menant à 1000 machines pour chaque machine saisie. Et donc un bon petit million de machines (soit tout le parc des nœuds Tor en fait) si tu veux espérer remonter à la source des données (3 nœuds par circuit).



Bref, c’est juste peine perdue.


Le C&C est dans un .onion. Il n’y a pas de guard ni d’exit node dans ce cas. Le trafic reste 100% à l’intérieur de Tor, tu n’auras donc strictement rien à comparer entre avant et après.








NetworkSecExpert a écrit :



Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.





&nbsp;A priori ça reste le meilleur moyen à l’heure actuelle.



Si tu n’es pas trop bête (les erreurs de SilkRoad & autres étaient humaines, pas techniques), Tor est un excellent moyen de te mettre à l’abri. Certainement le meilleur (sinon le seul d’ailleurs) qui existe aujourd’hui.


J’ai réinstallé mon serveur y a environ 1 mois chez OVH et par manque de temps j’ai pas remis le bridge tor en place. Ouf :) ça m’aurait fait chier de perdre les autres trucs qui tourne dessus!


Le trafic reste dans tor mais il n’empêche que le nœud de sortie lui se connecte bien à l’hidden service et donc à la machine qui héberge les serveurs de commande.

Simplement le trafic entre le nœud de sortie et le hidden est chiffré via tor, ni plus ni moins.


Il n’y a pas de nœuds de sortie sur les services cachés.

Le service caché et le client se rencontrent sur un nœud pris au pif (l’introduction point), il y a donc 6 couches de chiffrement, et l’introduction point ne connaît ni l’identité du client (1 circuit de 3 nœuds entre lui et le client) ni le service caché (pareil).

Tu n’as donc aucun moyen de remonter à la source. Même en saisissant toutes les machines.


On va gratter l’oignon de bon matin <img data-src=" /> <img data-src=" />

Je ne suis déjà plus là …


Le principe reste le même:



une ou plusieurs IP’s qui avant n’existaient pas sur le réseau se mettent à se connecter à des nœuds et elles le font en quantité importante vu le nombre de machines infectés.



Pour reprendre ce que je disais:



Une machine tor fonctionnant depuis 2 ans et qui log les métadonnées, pour détecter les “nouvelles” ip, je décide de supprimer de mes métadonnées toutes les ips connues depuis la possible mise en test du virus, soit disons la date de sortie publique de la faille trouvé par la nsa.



Il me reste donc toutes les ips nouvelles entre la période de publication de la faille et aujourd’hui, il reste ensuite à faire une statistique des ips les plus vu en connexion le semaine d’avant la diffusion du virus, puis de refaire la même chose après la diffusion du virus.



De cette liste va forcément apparaître les ips des serveurs de commandes, et à plus forte raison si les gouvernements ont des dizaines de serveurs tor.



&nbsp;


ça semblait marcher vachement bien chez numéricable , qui avait déjà du mal à fournir les adresses pour une ip leur appartenant&nbsp;

https://www.nextinpact.com/news/98964-hadopi-et-identification-ip-cnil-adresse-a…



&nbsp;


Non, il n’y aura pas « d’IP à apparaître ». Tu ne verras que X CLIENTS Tor supplémentaires, et encore en espérant que tu sois Guard (ce qui ne sera pas le cas si tu as un comportement mauvais pour le réseau d’ailleurs). Sinon tu ne verras juste rien du tout puisque tu ne fais que discuter avec des nœuds Tor (middle ou exit, puisqu’ici tu n’as pas de vrais exit vers le dehors du réseau).

Donc tout ce que tu peux lister, c’est l’arrivée massive de toutes les machines infectés.

Le HS lui, il sera apparu X mois avant bien tranquillement quand il n’y avait encore personne à s’intéresser à Wannacry, ou bien noyé dans le gros bordel de machines compromises.


Vu que la connexion passe par plusieurs nœuds tor, tous les nœuds intermédiaires ont leur connexions qui augmentent d’autant. Donc tu ne peux pas savoir quel nœud demande plus qu’avant (puisque tu ne sais pas quel est le nœud d’origine). Donc tous les nœuds sont autant suspects les uns que les autres et t’es pas plus avancé…



Edit : zut, grillé par aeris22 de quelques minutes <img data-src=" />


Et d’ailleurs, les criminels discutent par mail. ‘Faudrait mettre tous les fournisseurs de mail en prison, notre sécurité à tous en dépend.








aeris22 a écrit :



Si tu n’es pas trop bête (les erreurs de SilkRoad & autres étaient humaines, pas techniques), Tor est un excellent moyen de te mettre à l’abri. Certainement le meilleur (sinon le seul d’ailleurs) qui existe aujourd’hui.





Pas vraiment, I2P a été conçu pour développer un anonymat bien plus fort que Tor. QQ infos ici:https://geti2p.net/fr/comparison/tor

Cela dit, Tor est déjà extremement efficace.

Pour info, un serveur/client (car on est automatiquement serveur et client) I2P est inclus dans Tails.



Oui, il y a effectivement I2P aussi, mais il n’est pas/peu utilisable dans ce cas, vu que comme tu le dis tu deviens serveur et client à la fois (plus galère à faire tourner sur une machine chopée in the wild).