Site icon Sophos News

Des sites Dark Web mis en danger par une simple erreur de configuration de serveur !

sites dark web

Les opérateurs de sites Dark Web peuvent ne pas être aussi anonymes qu’ils le pensent. Une simple erreur de configuration pourrait révéler l’adresse IP de leur serveur, a averti un expert en sécurité cette semaine.

Yonathan Klijnsma, expert en sécurité, a expliqué qu’un simple oubli pouvait permettre à quiconque en ligne de cartographier les emplacements internet de sites Dark Web, en utilisant le protocole de services Onion de Tor qui permet de les dissimuler. Selon Bleeping Computer, son entreprise a déjà créé une base de données consultable qui associe de nombreux services cachés à leurs adresses IP.

Sur le web public, les internautes parviennent à identifier les noms de domaine des sites web (comme news.sophos.com), qui sont en général faciles à lire et à mémoriser. Le système DNS (Domain Name System) lié à internet, à savoir tout simplement un répertoire de sites web, associe ces noms de domaine lisibles par l’homme aux adresses IP utilisées par les ordinateurs pour communiquer.

Les données concernant les adresses IP sont publiques et le fait de connaitre l’adresse IP d’un site web permet d’avoir accès à de nombreuses informations sur un site web associé à cette dernière. Elle peut être utilisée pour trouver la société d’hébergement en ligne qui héberge un site web et peut être une cible potentielle pour une attaque, les deux pouvant être utiles si vous souhaitez démasquer un opérateur de site qui tente de rester anonyme.

Les sites Dark Web sont des services cachés, des services informatiques accessibles uniquement via le réseau Tor anonyme, au niveau duquel les adresses IP publiques sont masquées. Cela permet aux propriétaires de sites web de publier des informations sans que personne ne sache qui ils sont réellement.

Des serveurs mal configurés

L’anonymat repose sur la configuration correcte du serveur web par le propriétaire du service caché. C’est justement à ce niveau que Klijnsma a découvert ce qui s’est avéré être une erreur courante. Le problème est qu’un site web fonctionnant comme un service caché sera toujours, au départ, un simple serveur web associé à une adresse IP !

Une mauvaise configuration du serveur peut révéler cette adresse !

Un service caché doit être configuré pour “écouter” uniquement des connexions via son adresse IP locale (127.0.0.1), appelée localhost, lorsqu’il communique avec Tor daemon. À son tour, Tor daemon se connecte à l’adresse IP externe de l’ordinateur et garantit que le site web est accessible via le réseau Tor anonyme.

Cependant, certains opérateurs de services cachés ne configurent pas correctement leurs serveurs web pour “écouter” des connexions sur des noms d’hôte externes ou des adresses IP, ce qui peut entraîner une fuite des données IP que Tor tente de masquer.

Ce que Klijnsma a découvert était une fuite via l’actif d’un serveur web très courant : un certificat numérique.

La plupart des serveurs web utilisent des certificats SSL lorsqu’ils communiquent avec des visiteurs. Ces derniers ont 2 objectifs. Premièrement, ils chiffrent le trafic pour que les espions ne puissent pas l’intercepter et le lire. Deuxièmement, ils permettent au site web de prouver son identité auprès du navigateur web du visiteur. Imaginez un certificat SSL sous la forme d’une enveloppe notariée provenant d’un tiers de confiance avec votre nom et votre adresse (internet) dessus ! Si vous la donnez à quelqu’un, alors il saura qu’elle provient de vous et que le message qu’il contient est authentique.

De nombreux services Tor cachés utilisent des certificats SSL et ces derniers répertorient les adresses .onion des sites dans leurs champs “Common Name“. Cela signifie que tout service caché mal configuré pour “écouter” les communications depuis internet enverra ce certificat, ainsi que son adresse Dark Web anonyme .onion, aux visiteurs de l’internet public.

Cela donne aux visiteurs deux informations : une adresse Dark Web .onion et l’adresse IP qu’elle essaie de masquer.

Ces données sont suffisantes pour s’adresser à une société d’hébergement et trouver le nom et l’adresse de l’opérateur du site ou pour obtenir la fermeture du site en question. Un acteur malveillant pourrait également cibler l’adresse IP avec une attaque par déni de service ou tenter tout autre piratage.

Ce n’est pas la première fois que des sites Dark Web ont perdu leur anonymat à cause de serveurs mal configurés. Une fonctionnalité du serveur Web Apache qui fournit des informations détaillées le concernant, suite à une requête localhost, peut également fournir des informations précieuses sur un service caché, y compris des adresses IP publiques.

Les experts en sécurité et les services de police utilisent à tout moment le Renseignement d’Origine Source Ouverte (ROSO) pour traquer les acteurs malveillants en ligne. Les adresses IP sont une pièce maîtresse de ce processus. La technique de Klijnsma nous a tout simplement permis d’examiner comment il pouvait être utilisé sur le Dark Web, aussi facilement que sur le web grand public, et a prouvé une fois de plus que le fait d’utiliser Tor ne signifiait pas nécessairement que vous êtes en totale sécurité. Il existe plus d’une façon de se faire prendre sur le Dark Web !


Billet inspiré de Dark web sites could be exposed by routine slip-up, sur Sophos nakedsecurity.

Exit mobile version