Le Cert-FR recommande de bloquer Tor en entreprise

C’est Jean-Marc Manach qui a attiré l’attention, via Twitter, sur l’avant-dernière note d’information du CERT-FR. Dans celle-ci, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, rattaché à l’Agence nationale pour la sécurité des systèmes d’information (Anssi), « recommande de détecter voire de bloquer les communications qui pourraient être établies vers des nœuds Tor » en entreprise.

Il suggère ainsi de mettre en place un proxy « pour filtrer les connexions sortantes », en s’appuyant notamment vers les listes publiques d’adresses IP de nœuds du réseau Tor. Tout en soulignant une difficulté : « les nœuds Tor utilisent fréquemment les ports 80, 443, 9001 et 9030 » et, pour les deux premiers, « un filtrage applicatif est nécessaire pour pouvoir différencier les connexions Tor de la navigation Web ».

Dans sa note d’information, le Cert-FR souligne le risque d’utilisation malveillante : « Tor peut servir à camoufler le trafic réseau de maliciels pour, par exemple, exfiltrer des données sensibles ou créer un canal de communication caché permettant à des attaquants de contrôler des machines infectées ».

Le réseau Tor est mis à profit par KeRanger, ce logiciel malveillant qui vient tout juste de s’illustrer comme premier ransomware pour OS X, pour ses communications avec ses serveurs de commande et de contrôle.

Mais dès 2012, G-Data indiquait que des pirates informatiques avaient décidé de s’appuyer sur Tor pour protéger les échanges entre leurs serveurs de commande et de contrôle de botnet et les ordinateurs zombies compromis. Mevade, TorRAT, ou encore le rançongiciel Cryptorbit, en sont d’autres exemples. A noter que CTB-Locker n’a pas besoin d’accès à Internet ni de communication avec son infrastructure de commande et de contrôle pour chiffrer les données de sa victime. Seules les communications relatives au règlement de la rançon utilisent Tor.

Mais le Cert-FR émet ses recommandations bien après un Trend Micro qui, dès le début février 2014, publiait un billet de blog expliquant comment protéger son organisation des logiciels malveillant mettant à profit Tor. Sans surprise, on retrouvait dans ce texte des éléments mentionnés par le centre français, à commencer par l’utilisation de filtres applicatifs pour faire la différence entre trafic Web et échanges utilisant Tor. Mais le billet de l’éditeur s’avère toutefois bien plus détaillé.