WannaCry : des relais Tor français saisis par la police

WannaCry a provoqué beaucoup de dégâts et d’émois au sein des entreprises. La plupart des autorités judiciaires ont été saisies avec la délicate tâche de trouver le ou les auteurs de cette affaire. En France, une grande entreprise a été touchée (on sait que Renault a mis à l’arrêt des usines) et a porté plainte. Elle a enregistré tout le trafic sortant pendant les attaques et a fourni les données à la police.

En analysant ces données, les autorités, en particulier, l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication) ont découvert un lien avec un serveur détenu par un activiste français, Aeris. Ce serveur héberge deux relais Tor. Ils fonctionnent comme des portes d’entrée au réseau anonymisé. Or, WannaCry communique avec son serveur de commande et contrôle sur le Dark Web via une adresse en .onion. Aeris suspecte que les auteurs de WannaCry ont utilisé ces nœuds Tor pour entrer sur le réseau.

Plusieurs autres nœuds Tor ont disparu

L’activiste a confirmé à nos confrères de Bleepingcomputer la saisine du serveur hébergé chez Online SAS (filiale de groupe Iliad). Dans le même temps, Aeris a demandé au projet Tor la révocation des deux nœuds concernés. Pour autant, les autorités ne devraient pas trouver grand-chose sur le serveur saisi. En effet, la plupart des serveurs Tor sont configurés pour enregistrer très peu de détails afin de protéger la confidentialité des utilisateurs.

Un entretien avec Aeris montre que son cas n’est pas isolé. Plusieurs autres nœuds Tor ont disparu à partir du week-end du 13-14 mai. L’activiste a partagé une liste de 30 serveurs déconnectés pour cause de saisine, publiée sur GitHub. Il estime qu’au moins 6 serveurs ont été saisis, mais sans savoir s’ils ont un lien avec WannaCry ou d’autres affaires.

A lire aussi :

Le projet Tor livre son navigateur en version 7.0

La France, 4eme pays le plus touché au monde par WannaCry