L'annonce de l'opération Onymous a fait l'effet d'une petite bombe au sein de la communauté Tor. Non pas tant concernant la fermeture de marchés noirs en ligne dissimulés sur le réseau via des adresses en .onion, mais sur une possible vulnérabilité exploitée par les autorités américaines et européennes.

Ce climat de suspicion a remis en lumière des travaux de recherche concernant la possibilité d'une attaque par analyse de trafic permettant de lever l'anonymat de 81 % des utilisateurs de Tor. Des résultats cependant sujets à caution en raison d'un taux de faux positifs qui rendrait inefficace une telle attaque.

Les autorités avaient d'abord annoncé que plus de 410 services cachés et hébergés sur des pages en .onion via le réseau Tor ont été fermés dans le courant du mois. Parmi ceux-ci, quelques gros poissons tels que Silk Road 2.0, Cloud 9, Hydra, Alpaca ou Cannabis Road surtout connus pour du trafic de drogue.

operation-onymous
Mais d'après une analyse de Nik Cubrilovic, qui se présente comme un entrepreneur, blogueur et hacker australien (également contributeur et développeur pour TechCrunch), les chiffres annoncés par les autorités ne correspondent pas à la réalité.

L'opération Onymous n'aurait ainsi abouti qu'à la fermeture de 276 services parmi plus de 9 000 sites en .onion trouvés. Et pour 153 de ces sites fermés, il s'agissait de sites de spam ou de clones. En l'occurrence, 133 clones et 20 sites de phishing ou de scam.

Sur les 133 clones saisis par le FBI, Nik Cubrilovic écrit qu'un grand nombre d'entre eux ont été obtenus via la copie opérée par un bot dénommé Onion Cloner. " Ce bot trouve des sites cachés sur Tor et les clone sur sa propre adresse dans le but de voler des mots de passe ou intercepter des transactions Bitcoin. "

Pour certains sites, Nik Cubrilovic souligne que le clone ou la fausse version ont été saisis mais les originaux n'ont par contre pas été inquiétés. C'est notamment le cas pour le clone d'un site de dons au jihad. Il en outre constaté que des sites dont il n'est fait nullement mention dans des communiqués de presse ou des actes de procédure ont aussi été fermés mais ne relèvent pas d'une activité illégale.

Les plus optimistes retiendront que les autorités n'ont peut être pas connaissance d'une vulnérabilité majeure dans Tor.