DarkMarket : démantèlement d’une marketplace majeure sur le dark web

Cybercriminalité

Vous n’avez probablement pas besoin que l’on vous explique quels types de produits étaient proposés sur un site de vente en ligne appelé DarkMarket.

darkmarket

Comme vous pouvez l’imaginer, il fonctionnait sur le dénommé dark web, et vous auriez eu besoin du navigateur Tor pour y accéder, en utilisant une adresse Web spéciale se terminant par .onion.

Les adresses de type onion ne peuvent être visitées qu’avec le navigateur Tor, vous ne pouvez donc pas rechercher les numéros IP à partir desquels elles peuvent être atteintes sur Internet, comme vous pouvez le faire avec des sites classiques comme sophos.com par exemple.

Au lieu de cela, vous devez vous connecter au réseau Tor et lui demander de localiser et de se connecter aux sites de type onion pour vous, en supposant que vous sachiez quelle adresse onion utiliser au départ.

En utilisant un protocole d’anonymisation spécifique, Tor fait en sorte que “l’autre extrémité” de votre connexion anonyme à Tor soit associée à “l’autre extrémité” de la connexion du site onion à Tor, après quoi seulement vous pourrez communiquer.

Votre trafic arrive jusqu’au site onion, mais vous ne savez pas où se trouve ce site car vous ne pouvez tracer vos paquets que lorsqu’ils entrent pour la première fois dans le réseau Tor.

De même, les réponses du serveur vous reviennent, mais le serveur n’a aucune idée de votre localisation, pour la même raison mais via le processus inverse.

Dark (sombre) au sens littéral du terme

En réalité, le terme dark (sombre) dans le mot dark web n’est pas une référence métaphorique impliquant que tout sur le dark web est diabolique et dystopique.

En réalité, ce terme fait référence au fait que le trafic réseau des utilisateurs du dark web, dans les deux sens, est ‘sombre’ dans le sens plus littéral de ‘non éclairé’.

Votre trafic est protégé par plusieurs couches de chiffrement et de redirection aléatoire, ce qui non seulement l’empêche d’être espionné, mais également d’être suivi et tracé.

Cette technologie rend étonnamment difficile pour quiconque, notamment les gouvernements et les forces de l’ordre, de dire qui utilise quels sites sur le dark web.

Cette manière de fonctionner signifie également qu’il est difficile de localiser et de stopper les serveurs qui sont hors la loi.

Dark (sombre) dans les deux sens

En conséquence, certains sites sur le dark web sont à peu près exploités à la vue de tous, leurs adresses onion sont largement connues et publiées sur le Web classique, ainsi que des descriptions concernant l’utilité du site et ce que vous pouvez y acheter si vous le visitez.

Il n’est donc pas surprenant que certains sites sur le dark web soient ‘sombres’ au sens littéral et métaphorique du terme.

Les sites qui vendent sciemment des produits et services illégaux (parfois très sérieusement illégaux) peuvent profiter de la nature ‘non éclairée’ du dark web pour empêcher les autorités de les mettre sous surveillance ou de les fermer.

Les drogues récréatives interdites, peut-être sans surprise, sont probablement les produits auxquels le dark web est le plus souvent associé.

Pas complètement privé

Cependant, malgré le chiffrement et la redirection mis en œuvre, l’anonymat et l’invisibilité de Tor se sont pas absolus, signifiant ainsi que les opérateurs du dark web se font parfois prendre et leurs serveurs mis hors service.

L’exemple le plus célèbre est probablement celui de Silk Road, mieux connu pour ses ventes de stupéfiants, qui était dirigé par un homme du nom de Ross Ulbricht, que les forces de l’ordre ont mis près de trois ans à retrouver.

Toutefois, l’aventure ne s’est pas bien terminée pour Ulbricht, qui purge actuellement une peine d’emprisonnement à perpétuité sans possibilité de libération conditionnelle (techniquement, il purge deux peines à perpétuité plus des peines supplémentaires de 5, 10, 15 et 20 ans).

Eh bien, c’est arrivé à nouveau : en effet, Europol a récemment annoncé un autre retrait du dark web, fermant le site DarkMarket mentionné en début d’article et remplaçant son contenu en ligne par une page d’avertissement :

darkmarket

Cliquez sur l’image pour accéder à l’avertissement original d’Europol.

Coopération internationale

Comme vous pouvez le voir sur les logos de la page de retrait ci-dessus, l’opération a nécessité la coopération internationale des forces de l’ordre en Allemagne, en Australie, au Danemark, en Moldavie, en Ukraine, au Royaume-Uni et aux États-Unis.

Selon Europol, les serveurs qui ont été mis hors service étaient situés en Moldavie et en Ukraine; de plus, l’homme censé avoir géré le service était un citoyen australien qui a été arrêté en Allemagne, près de la frontière danoise.

Maintenant que les serveurs de DarkMarket ont été saisis (plus de 20 au total, apparemment), Europol se dit convaincu que les données extraites de ces serveurs “donneront aux enquêteurs de nouvelles pistes pour investiguer davantage les modérateurs, les vendeurs et les acheteurs”.

Bien entendu, ces serveurs ne contiendront pas les vrais numéros IP et les emplacements réseau des visiteurs de DarkMarket enregistrés dans leurs logs.

Grâce au réseau Tor, les visites effectuées via ce réseau apparaîtront comme provenant de l’un des milliers de nœuds actifs, plutôt que des adresses IP des visiteurs eux-mêmes.

NB : Tor envoie toujours le trafic via au moins trois nœuds choisis au hasard dans son système. Il existe un peu plus de 6000 nœuds au total au moment de la rédaction de cet article, gérés par des bénévoles. Le premier nœud connaît votre numéro IP, car vous vous y connectez directement, mais il n’a aucun moyen de dire ce que vous recherchez et où vous voulez vous rendre. Le dernier nœud sait où votre trafic est arrivé, mais n’a aucun moyen direct de dire qui vous êtes (et aucun moyen, si le serveur de destination fait lui-même partie du réseau Tor, de savoir où vous alliez ou ce que vous cherchiez). Le nœud du milieu sert efficacement à séparer les nœuds “d’entrée” et “de sortie”, réduisant ainsi considérablement les chances pour ces derniers de communiquer et d’essayer de faire correspondre les sorties avec les entrées afin de déterminer ‘qui’ est allé ‘’.

Cependant, malgré l’aide de Tor pour anonymiser les utilisateurs, nous soupçonnons que toute personne ayant eu plus qu’une simple connexion passagère avec DarkMarket soit plutôt inquiète en ce moment car il est fort possible que son identité ou son emplacement puisse, d’une manière ou d’une autre, être révélé par les données des serveurs saisis.

Il y a très certainement une énorme quantité de données à analyser par les autorités.

Selon Europol : “En appliquant les [taux de change actuels, lors des achats effectués sur le site] la somme finale correspond à plus de 140 millions d’euros. Les vendeurs sur cette marketplace échangeaient principalement toutes sortes de stupéfiants et vendaient de la fausse monnaie, des données de cartes de crédit volées ou contrefaites, des cartes SIM anonymes et des malwares”.

Les cookies de connexion et les métadonnées du navigateur (notamment les données divulguées en raison de bugs du navigateur); Les messages “privés” partagés avec des opérateurs ou des administrateurs sur le site avec des cadeaux personnels intégrés; les métadonnées laissées dans les fichiers téléchargés; ou des informations dérivées des produits commercialisés sur le site …

… tout ou partie de ces éléments pourraient être autant d’indices susceptibles d’aider les forces de l’ordre à découvrir les autres maillons de la chaîne.

EN SAVOIR PLUS SUR LE DARK WEB

Billet inspiré de Europol announces bust of “world’s biggest” dark web marketplace, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.