Tor : Un serveur russe utilisé pour diffuser des malwares

Leviathan Security Group enjoint les utilisateurs à ne pas télécharger de code non protégé SSL/TLS même si le binaire est signé numériquement. 

Découvert par un chercheur en sécurité et désormais blacklisté, le serveur russe utilisait une technique permettant d'ajouter des logiciels malveillants à du code légitime.

Un chercheur en sécurité a découvert qu'un serveur russe utilisait le projet Tor pour ajouter du code malveillant dans les fichiers téléchargés par les utilisateurs. Le logiciel Tor ou The Onion Router, qui permet de naviguer sur Internet de façon un peu plus anonyme, brouille les pistes en faisant passer les données par un réseau de serveurs dispersés partout dans le monde. Le système est très utilisé par les internautes qui veulent cacher leur adresse IP réelle et masquer leur navigation sur le Web. Le serveur russe suspect faisait office de « noeud de sortie » pour Tor, c'est-à-dire qu'il était le dernier serveur de la chaîne utilisé pour acheminer le trafic Web vers sa destination. Roger Dingledine, directeur du Projet Tor, a indiqué que le serveur russe avait été marqué comme mauvais « noeud de sortie », ce qui signifie que les clients Tor éviteront de l'utiliser.

C'est Josh Pitts, du Leviathan Security Group, qui a découvert le serveur au cours de ses tests de contrôle et de sécurité. Dans le cas présent, celui-ci cherchait à estimer combien d'attaquants étaient capables de modifier le code légitime des fichiers binaires pour diffuser des logiciels malveillants. Les fichiers binaires des gros éditeurs de logiciels ont des signatures numériques qui peuvent servir à vérifier que le code n'a pas été modifié. Mais, comme l'explique le chercheur, ce n'est pas le cas de la plupart des codes, et même, la plupart n'utilisent pas le TLS (Transport Layer Security) qui chiffre les connexions entre le client et le serveur pendant le téléchargement. Le chercheur soupçonnait les assaillants de patcher les fichiers binaires pour mener des attaques man-in-the-middle.

Un serveur identifié parmi 1110 noeuds de sortie Tor

Pour le vérifier, celui-ci a scruté plus de 1110 noeuds de sortie Tor. C'est comme ça qu'il a repéré le serveur russe, seul noeud de sortie Tor utilisé pour infecter les binaires. « Le noeud a servi uniquement à modifier les exécutables portables non compressés », a-t-il écrit. « Mais cela ne signifie pas que les autres noeuds du réseau Tor ne servent pas à patcher des binaires. Je n'ai pas pu les surprendre, ou ils sont peut-être programmés pour modifier seulement de petits ensembles de binaires », a-t-il ajouté. « Essentiellement, ce que les utilisateurs peuvent retenir de cette découverte, c'est qu'ils ne doivent pas télécharger un code qui n'est pas protégé par le SSL/TLS, même si le binaire est lui-même signé numériquement », a conseillé le chercheur du Leviathan Security Group. « Tous les internautes, ceux qui vivent dans des pays hostiles à la « liberté d'Internet », mais aussi tous ceux qui utilisent Tor, doivent se méfier et éviter de télécharger des binaires hébergés en clair. De plus, tous les utilisateurs doivent avoir un moyen de vérifier les hashs et les signatures « hors calendrier » avant d'exécuter le fichier binaire », écrit-il.