Aller au contenu

Une attaque par usurpation d’adresse IP qui visait certainement à faire « tomber » des relais Tor

Bonjour,

Fin octobre et jusqu’au 7 novembre dernier, une attaque par usurpation d’adresse IP (IP spoofing) a concerné de très nombreux relais du réseau Tor.

L’attaquant faisait croire que les adresses des serveurs faisant partie du réseau Tor scannaient les ports SSH, comportement qui est identifié par les outils automatiques, dont ceux qui protègent contre les intrusions (IPS) et/ou les détectent (IDS) comme celui d’un attaquant potentiel. En effet, quand une même adresse IP scanne ce genre de port stratégique à tout va, ce peut être dans le cadre ou pour préparer une attaque.

Le but était très certainement que les serveurs hébergeant des relais Tor soient « déconnectés » du réseau par des fournisseurs d’hébergement ou de connectivité Internet.

En effet,

  • suite à des signalements répétés ou
  • par utilisation de listes de blocage automatisées ou
  • les deux, car d’autres qui utilisent ces listes de blocage peuvent leur effectuer des signalements,

des fournisseurs d’accès et des hébergeurs ont déclenché des procédures d’alerte, de filtrage ou de désactivation à l’encontre des serveurs en question.

L’article officiel du projet Tor est ici (anglais) :

Defending the Tor network: Mitigating IP spoofing against Tor, 8 novembre 2024 : https://blog.torproject.org/defending-tor-mitigating-IP-spoofing/

L’article de Pierre BOURDON à ce sujet sur son blog est très éclairant et intéressant en retraçant sa démarche pour comprendre ce qu’il se passait (anglais également) :

One weird trick to get the whole planet to send abuse complaints to your best friend(s), 29 octobre 2024 : https://delroth.net/posts/spoofed-mass-scan-abuse/

Je retire deux grands enseignements de cette histoire :

  • Comme trop souvent, les solutions à de vrais problèmes existent, mais il suffit de quelques francs-tireurs et mauvais élèves pour mettre le navire en péril. Ici, il suffirait que tout le monde fasse sa part et que tous les systèmes autonomes vérifient les adresses sources des paquets qu’ils acheminent depuis leur réseau.
  • Les outils automatisés, pas plus que les systèmes de dénonciation (qui peuvent être trompés par des attaques Sybil) ne sont pas et ne seront JAMAIS des solutions fiables et viables.

De fait, cela implique pour nous que nous devons :

  • nous protéger plus encore et protéger nos partenaires, clients, etc. ;
  • ajouter des couches d’intelligence humaine et veiller à ne pas être dépendants de systèmes trop faciles à abuser ;
  • disposer de moyens de secours pour assurer la continuité de nos services stratégiques.

Ce type d’attaque n’est pas spécifique à Tor.

N’importe qui peut en être la cible à tout moment, et il est alors très difficile voire impossible de s’en sortir pour la plupart d’entre nous.

Prenez bien soin de vous.

Au plaisir,

Marc JESTIN

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *