L'explosion du trafic du réseau TOR serait imputable à un Botnet
Qui a été identifié par des chercheurs en sécurité

Le , par Cedric Chevalier, Expert éminent sénior
Avec les révélations d’Edward Snowden sur le projet PRISM de la NSA, il est tout à fait logique que les internautes veuillent protéger leurs vies privées et aussi conserver la confidentialité de leurs communications.

L’explosion du trafic du réseau TOR observée il y a quelque temps de cela, aurait pu être interprétée par n’importe quel esprit rationnel comme l’expression du ras-le-bol d’une multitude d’utilisateurs suite à l’espionnage dont ils sont victimes, ou l’adoption massive du pack proposé par The Pirate Bay pour ceux qui voudraient préserver leur anonymat tout en téléchargeant des fichiers avec le protocole P2P, ou même la population syrienne qui voudrait continuer de communiquer sur internet en évitant la censure gouvernementale.

Toutefois, le blog de FOX IT propose une autre explication plausible. Pour ce dernier, le réseau TOR serait tout simplement victime du trafic généré par un vaste botnet.

Justifications : le malware en charge du botnet se fait appeler SBC (une variante du Mevade.a), et les chercheurs ont suivi son évolution.


Au départ ce dernier se servait des réseaux Peer to Peer et du protocole HTTP pour la transmission des commandes aux ordinateurs zombies du botnet. Désormais, il utilise le réseau TOR à cet effet.

Pour preuve, la grande majorité des clients TOR qui se sont connectés récemment exécutaient les versions 0.2.3.x du logiciel (consulter le listing de désassemblage ci-dessous).


En recoupant ces informations avec la distribution massive du botnet (les États-Unis et le Japon sont les pays les plus touchés), les chercheurs retrouvent le peak de connexions massives à TOR observé récemment.

Par ailleurs, pour savoir si un ordinateur est infecté, rechercher l’exécutable wins.exe à l’aide du chemin qui suit : %SYSTEM%\config\systemprofile\Local Settings\Application Data\Windows Internet Name System\wins.exe

Source : blog FOX IT

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Carhiboux Carhiboux - Expert éminent sénior https://www.developpez.com
le 10/09/2013 à 17:09
Citation Envoyé par Cedric Chevalier  Voir le message
Qu'en pensez-vous ?

Comme le disait si bien Coluche : "on s'autorise a penser dans les milieux autorisés".

Aucun chiffre ne vient étayer cette news. L'auteur du blog, lapidaire, dit juste qu'en extrapolant ses chiffres locaux (lesquels, et obtenu comment il ne le dit pas) avec le nombre d'ordinateurs connectés sur internet à travers le monde (ha et il a estimé leur nombre à combien exactement?), il arrive à des ordres de grandeurs qui expliquerait ces nouveaux utilisateurs sur TOR.

Bref, c'est peut être une info réelle, mais ca manque singulièrement de source, et ca ressemble plus à de la récupération d'actualité plutôt qu'à une réelle actualité. D'ailleurs, le billet date du 05/09...
Avatar de HardBlues HardBlues - Membre actif https://www.developpez.com
le 10/09/2013 à 17:09
Ça me semble, malheureusement, une explication plus plausible qu'une brusque prise de conscience des internautes...
Avatar de Pelote2012 Pelote2012 - Membre chevronné https://www.developpez.com
le 12/09/2013 à 9:08
Certes les sources ne sont pas très détaillées, mais au regard de ce que pensent pas mal de personnes ici, doubler le trafic du jour au lendemain ???
Maintenant, la question que je me pose est : est que cela pourrait servir les intérêt de TOR?
Augmenter le trafic, et pour rechercher une personne ça devient une aiguille dans une botte de foin
Avatar de Ekleog Ekleog - Membre éclairé https://www.developpez.com
le 14/09/2013 à 0:15
Augmenter le trafic, et les serveurs sont surchargés, et on tombe à un débit ridicule. Enfin, les analyses statistiques sont perturbées par le trafic, mais il faut quand même une très grande influence sur tout Internet pour pouvoir la pratiquer. (AFAIK, sniff des paquets sortant de la machine ciblée ainsi que de tous les serveurs de sortie tor -- ou bien au moins de tous les serveurs de la chaîne. Après, je ne garantis pas qu'une méthode plus efficace n'ait pas été mise au point.)

Si le botnet avait installé un serveur tor sur chaque ordinateur, j'aurais été pour ! (enfin, sur ce point, évidemment, un peu d'hyperbole ne coûte rien)

Parce que plus de serveurs implique plus de sécurité, à pas grand chose près. Le seul souci étant que tous ces serveurs sont aux mains du contrôleur du botnet, mais c'est une attaque qui a été explicitement négligée par les concepteurs de tor, vu qu'il est impossible (ou pas ?) de s'en défaire : si quelqu'un accordait un débit égal à tous ceux des serveurs tor existants, il contrôlerait la moitié du réseau, et aurait peu de chance de rater la personne ciblée (1 / 2^3 = 1 / 8 par chemin tor établi -- autant dire que son attaque a réussi d'avance). Si en plus il profitait de certaines failles de tor (je ne sais pas si elles ont été comblées, depuis), le DOS de l'autre moitié du réseau est possible, et vu qu'il y a suffisamment de BP, il n'y aurait pas de manque de BP ; et le contrôleur du botnet contrôlerait le réseau tor.

Après, ceci est dans le cas extrèmement improbable (me semble-t-il) où la BP des ordinateurs infectés est supérieure à la BP des serveurs tor normaux.
Offres d'emploi IT
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil