Résumé : Selon un article du Tagesschau, les enquêteurs allemands ont réalisé une percée significative dans la surveillance du réseau Tor en parvenant à identifier et arrêter quatre suspects impliqués dans des activités criminelles, notamment l'exploitation de rançongiciels et l'hébergement de contenus illégaux. L'opération a été menée grâce à une technique "d'analyse temporelle" permettant de surveiller les nœuds Tor et d'établir des liens entre les serveurs cachés et les connexions Internet locales. Bien que les détails techniques précis de l'opération n'aient pas été divulgués, il a été révélé qu'au moins un suspect utilisait une version obsolète de l'application Ricochet, ce qui a facilité son identification. Face à ces événements, les développeurs de Tor maintiennent que leur navigateur reste sûr pour les utilisateurs respectant la loi, soulignant que le réseau est plus robuste que jamais avec l'ajout de plus de 2000 nouveaux nœuds de sortie.
Le média allemand Tagesschau rapporte que la police locale a réussi à cibler, localiser et arrêter quatre suspects dans le cadre d'une seule et même enquête. Les suspects utilisaient Tor pour dissimuler leur identité et leurs activités de gestion d'un ransomware et d'hébergement de matériel pédopornographique (CSAM) sur leurs serveurs.
Les enquêteurs ont identifié les suspects à l'aide d'une attaque par « analyse temporelle ». Les agents ont surveillé directement de nombreux nœuds Tor dans le temps, à la recherche d'une connexion spécifique entre les serveurs cachés dans le darknet et des connexions internet locales. Cette histoire confirme que les services de police surveillent activement les serveurs web cachés dans Tor.
Les autorités ont suivi quatre personnes dans le cadre de leur enquête et ont fini par prendre le contrôle de l'adresse Tor appartenant à un groupe de ransomware. La police a redirigé le trafic vers une nouvelle page afin d'empêcher les utilisateurs de partager les fichiers chiffrés précédemment volés. Les enquêteurs ont ensuite utilisé des techniques d'analyse temporelle pour découvrir l'identité d'« Andres G », une personne exploitant un service .onion connu sous le nom de « Boystown » qui hébergeait du CSAM.
Découvrir avec réussite qui se cache derrière un service du darknet n'est pas chose aisée, et les autorités n'ont pas révélé de détails significatifs sur leur attaque d'analyse temporelle. Les développeurs du projet Tor affirment qu'un suspect suivi par les autorités allemandes utilisait une ancienne version de l'application de messagerie instantanée décentralisée Ricochet, basée sur Tor.
L'équipe Tor a déclaré que l'utilisateur de Ricochet a été « complètement désanonymisé » par une attaque de découverte de vulnérabilités. La version obsolète de Ricochet n'offrait aucune protection contre l'analyse de temps. Les développeurs ont remédié à cette lacune dans une nouvelle version de l'application (Ricochet-Refresh). Cette version est entièrement maintenue et offre une meilleure confidentialité pour discuter librement (et échanger des fichiers) dans le darknet.
Les développeurs affirment que les utilisateurs ne peuvent accéder aux services Onion qu'à partir du réseau Tor, de sorte que toute discussion sur la surveillance des nœuds de sortie n'a pas lieu d'être. Le réseau est plus sain que jamais, avec plus de 2 000 nouveaux noeuds de sortie mis en ligne ces dernières années. Un " nœud de sortie " est le dernier nœud Tor caché auquel un utilisateur se connecte avant d'aller sur le Clearnet, agissant comme émetteur de la communication du point de vue d'un fournisseur d'accès à Internet (FAI).
« Comme beaucoup d'entre vous, nous avons encore plus de questions que de réponses », a déclaré le programmeur de Tor. « Mais une chose est claire : les utilisateurs de Tor peuvent continuer à utiliser Tor Browser pour accéder au web de manière sécurisée et anonyme.
source :
https://www.techspot.com/news/104790-german-investigators-successfully-tracked-suspects-inside-tor-network.html