Posté le juillet 6, 2019 à 9:11
EXPLICATION DES ATTAQUES DDOS SUR DES SITES .ONIONS: LE NAVIGATEUR TOR AVAIT UN DÉFAUT DEPUIS LE DÉBUT
Le navigateur Tor, également connu sous le nom de projet Tor, a récemment annoncé qu’il va corriger une faille majeure qui permettait aux hackers de l’exploiter depuis des années. Le navigateur anonyme, qui constitue le moyen le plus populaire d’accéder aux sites Web .onion, avait une faille qui permettait aux cybercriminels de lancer des attaques DDoS contre les sites du dark web.
Désormais, Tor a tourné son attention vers le bug et se prépare à le corriger. Selon des informations récentes, le problème devrait être résolu avec la prochaine mise à jour du protocole Tor 0.4.2.
La faille du navigateur Tor
Le bug est sérieux et, dans les cercles de la sécurité de l’information, il s’agit d’une faille DoS. Lorsqu’il est exploité, il est capable de bloquer le service Onion qui gère un site Web .onion. Autrement dit, les hackers peuvent utiliser le bug à mauvais escient et envoyer des milliers de demandes de connexion à un site Web qu’ils souhaitent supprimer. Les connexions resteraient simplement en suspens, ce qui surchargerait éventuellement le site Web et le ferait planter.
Les attaques DDoS qui ciblent des sites Web classiques fonctionnent de la même manière, mais ces attaques ciblaient des sites Web .onion, qui constituent le dark web. Lorsque les connexions commencent à arriver, le service Onion doit envoyer à distance un circuit complexe à travers le réseau Tor, qui lui-même se compose de milliers de nœuds.
En d’autres termes, la demande a encore beaucoup de chemin à faire avant d’atteindre l’utilisateur qui a demandé des informations, ce qui nécessite beaucoup de ressources processeur. Avec suffisamment de connexions et de demandes d’informations, le serveur situé derrière le site Web ciblé est saturé et il ne peut tout simplement plus gérer de connexions.
Il s’agit d’une faille extrêmement ancienne qui a en fait été connue de nombreux développeurs Tor. Cependant, cela n’a pas été résolu jusqu’à présent, car les développeurs n’avaient tout simplement pas assez de personnel pour le faire. De plus, traiter la faille n’est pas si simple, car elle exploite le processus mis en place pour permettre aux utilisateurs légitimes d’y avoir accès. Il n’existe tout simplement aucun moyen de savoir si une demande d’information provient d’un utilisateur réel ou d’un hacker ayant pour objectif de nuire au site web. Du moins, une fois que l’attaque a commencé, il est trop tard pour faire quoi que ce soit pour quiconque.
Des sites web de marchés illégaux attaqués
Malheureusement, la faille était également connue des hackers qui ont continué à en abuser pendant des années, mettant en panne les portails du dark web un après l’autre. Quand tout a commencé, des sites dark web légitimes ont signalé les attaques. Cependant, les attaquants ont récemment commencé à viser des sites Web illégaux et des boutiques en ligne qui vendent de la drogue, des armes, des données volées lors d’attaques de piratage, des logiciels malveillants, etc.
L’un des principaux sites Web illégaux qui étaient mis en panne est Dream Market, le plus grand marché illégal de tout le dark web. Les hackers ont commencé à l’attaquer plus tôt cette année, en mars, et le site Web a annoncé qu’il serait fermé. Les opérateurs du site ont également révélé que l’attaquant avait exigé 400 000 dollars à Bitcoin pour arrêter l’attaque. Comme prévu, le Dream Market a refusé et son site Web a été fermé.
Puis, en avril de cette année, les attaques ont commencé à frapper d’autres marchés qui ont essayer de remplacer Dream Market. Nightmare Market en est un exemple, et Empire Market en est un autre. Bien sûr, les attaquants ne se sont pas arrêtés là, et ils ont également ciblé de nombreux autres sites web, dont le forum Dread.
Plusieurs marchés ont décidé de passer à I2P que de rester sur Tor qui n’en valait plus la peine. I2P est un réseau d’anonymat différent bien que pas aussi populaire et connu que Tor. Cependant, leurs efforts ont été vains.
N’importe qui pourrait être derrière les attaques
Les attaques ont simplement continué depuis, ciblant toutes sortes de portails du dark web. Les opérateurs de sites .onion ne peuvent pas se protéger et la seule alternative est de fermer leurs sites et de quitter le réseau. Il n’y a aucune information confirmée sur les attaquants, et personne ne peut dire qui ils sont, d’où ils viennent ni quel est leur objectif final. Ils peuvent être n’importe qui, car l’outil qu’ils utilisent est disponible sur GitHub depuis plus de quatre ans maintenant. Cet outil s’appelle Stinger-Tor et tout le monde peut l’utiliser pour lancer des attaques DDoS contre des sites Web .onion.
Il existe également des groupes qui vendent d’autres outils similaires sur divers forums undergrounds. Leurs outils diffèrent légèrement, mais ils exploitent la même faille, donc le résultat final est le même.
Les attaques sont devenues un tel problème que de nombreux membres de la communauté Dread ont décidé de demander des dons, ainsi que de faire des dons eux-mêmes. Les dons seraient envoyés aux développeurs de Tor et leur permettraient, espérons-le, de résoudre la faille et d’empêcher de nouvelles attaques. Compte tenu du fait que Tor envisage de publier le correctif lors de sa prochaine mise à jour, il semble que le plan a fonctionné.
Bien entendu, il est peu probable que ce soit la fin de l’histoire, car les développeurs ne peuvent pas réparer la faille complètement — du moins pas sans violer les fonctions de confidentialité et de sécurité de Tor. Cependant, les développeurs ont dit que les attaques seraient moins efficaces à l’avenir si elles continuaient. Le correctif lui-même permettra simplement aux opérateurs de sites onion d’activer des défenses s’ils seront attaqués. Les utilisateurs pourront toujours accéder aux sites malgré les défenses, mais les demandes de connexion seront plus longues.