{"id":19695,"date":"2022-11-08T12:44:47","date_gmt":"2022-11-08T10:44:47","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19695"},"modified":"2022-11-08T12:44:47","modified_gmt":"2022-11-08T10:44:47","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/onionpoison-infected-tor-browser\/19695\/","title":{"rendered":"Ne t\u00e9l\u00e9chargez jamais un logiciel en suivant les liens sur YouTube"},"content":{"rendered":"

Plus t\u00f4t en octobre, les experts de Kaspersky ont publi\u00e9 un rapport<\/a> d\u00e9taill\u00e9 sur une menace qu\u2019ils ont appel\u00e9e OnionPoison. Ils ont d\u00e9couvert que ce code malveillant \u00e9tait distribu\u00e9 via des vid\u00e9os sur YouTube. La vid\u00e9o en question \u00e9tait une publicit\u00e9 du navigateur Tor<\/a> qui promeut la navigation priv\u00e9e.<\/p>\n

Ce navigateur est une version modifi\u00e9e du\u00a0 navigateur Firefox, avec des param\u00e8tres de confidentialit\u00e9 maximums. Pourtant, sa caract\u00e9ristique la plus importante est qu\u2019il peut rediriger toutes les donn\u00e9es utilisateur en passant par un r\u00e9seau de routage en oignon (The Onion Router en anglais, d\u2019o\u00f9 l\u2019acronyme Tor). Les donn\u00e9es sont chiffr\u00e9es et passent par plusieurs couches du serveur (d\u2019o\u00f9 l\u2019image de l\u2019oignon) puis sont m\u00e9lang\u00e9es avec les donn\u00e9es d\u2019autres utilisateurs du r\u00e9seau. Cette m\u00e9thode garantit la confidentialit\u00e9 des donn\u00e9es\u00a0: les sites ne voient que l\u2019adresse du dernier serveur dans le r\u00e9seau Tor, appel\u00e9 n\u0153ud de sortie, et n\u2019ont pas acc\u00e8s \u00e0 la v\u00e9ritable adresse IP de l\u2019utilisateur.<\/p>\n

Ce n\u2019est pas tout. Le r\u00e9seau Tor peut aussi \u00eatre utilis\u00e9 pour contourner les restrictions d\u2019acc\u00e8s \u00e0 certains sites. Par exemple, en Chine de nombreuses ressources Internet \u00ab\u00a0occidentales\u00a0\u00bb sont bloqu\u00e9es et les utilisateurs doivent trouver d\u2019autres solutions, comme Tor, pour y acc\u00e9der. D\u2019ailleurs, YouTube est officiellement indisponible en Chine. Par d\u00e9finition, la vid\u00e9o se dirige aux personnes qui souhaitent contourner les restrictions. Cette m\u00e9thode n\u2019\u00e9tait s\u00fbrement pas la seule utilis\u00e9e pour distribuer le programme malveillant OnionPoison, et d\u2019autres liens ont certainement \u00e9t\u00e9 plac\u00e9s dans d\u2019autres ressources en Chine.<\/p>\n

Normalement, un utilisateur peut t\u00e9l\u00e9charger le navigateur Tor depuis le site officiel du projet. Pourtant, ce site est \u00e9galement bloqu\u00e9 en Chine. Il n\u2019est donc pas surprenant que les utilisateurs recherchent d\u2019autres sources pour le t\u00e9l\u00e9charger. La vid\u00e9o YouTube explique comment cacher son activit\u00e9 en ligne en utilisant Tor, et un lien figure dans la description. Ce dernier ouvre un service chinois d\u2019h\u00e9bergement de fichiers sur le Cloud. Malheureusement, la version du navigateur Tor disponible est infect\u00e9e par le logiciel espion OnionPoison. Ainsi, au lieu de garantir la confidentialit\u00e9 de ses donn\u00e9es, l\u2019utilisateur obtient le contraire\u00a0: toutes ses donn\u00e9es sont divulgu\u00e9es.<\/p>\n

\"Capture

Capture d\u2019\u00e9cran de la vid\u00e9o YouTube qui distribue une version infect\u00e9e du navigateur Tor. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Quelles informations la version infect\u00e9e du navigateur Tor obtient-elle ?<\/h2>\n

La version infect\u00e9e du navigateur Tor n\u2019a pas de signature num\u00e9rique, ce qui devrait imm\u00e9diatement attirer l\u2019attention des utilisateurs qui s\u2019inqui\u00e8tent de leur s\u00e9curit\u00e9. En installant ce programme, le syst\u00e8me d\u2019exploitation Windows affiche un message d\u2019avertissement \u00e0 ce sujet. \u00c9videmment, la version officielle du navigateur Tor a une signature num\u00e9rique. La distribution des contenus du pack infect\u00e9 n\u2019est gu\u00e8re diff\u00e9rente du pack original. Pourtant, m\u00eame si ces diff\u00e9rences sont minimes, elles sont importantes.<\/p>\n

Pour commencer, certains param\u00e8tres importants du navigateur infect\u00e9 ont \u00e9t\u00e9 modifi\u00e9s par rapport \u00e0 l\u2019original. Contrairement au vrai navigateur Tor, la version malveillante se souvient de l\u2019historique de navigation, stocke des copies temporaires des sites sur l\u2019ordinateur et sauvegarde automatiquement les identifiants de connexion et toutes les donn\u00e9es saisies sur des formulaires. Ces fonctionnalit\u00e9s nuisent \u00e0 la confidentialit\u00e9 des donn\u00e9es mais les choses empirent\u2026<\/p>\n

\"Page

Page qui permet de t\u00e9l\u00e9charger la version infect\u00e9e par le logiciel espion OnionPoison du navigateur Tor. Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Une des cl\u00e9s des biblioth\u00e8ques Tor\/Firefox a \u00e9t\u00e9 remplac\u00e9e par un code malveillant. Cette action appelle la biblioth\u00e8que originale, au besoin, afin que le navigateur n\u2019arr\u00eate pas de fonctionner. Au d\u00e9marrage, le code s\u2019adresse aussi au serveur C&C d\u2019o\u00f9 il t\u00e9l\u00e9charge et ex\u00e9cute un autre programme malveillant. De plus, cette \u00e9tape suivante de l\u2019attaque n\u2019a lieu que si la v\u00e9ritable adresse IP de l\u2019utilisateur le localise en Chine.<\/p>\n

Cette \u00ab\u00a0seconde \u00e9tape\u00a0\u00bb de l\u2019attaque permet aux cybercriminels d\u2019avoir autant d\u2019informations que possible sur l\u2019utilisateur :<\/p>\n