Le dark web est une dimension du cyber-espace qui suscite à la fois fascination et préoccupations. Clubic vous propose de découvrir comment il fonctionne, son niveau d’anonymat et ce que l’on peut y retrouver en 2024.
Énigmatique facette du cyber-espace, le dark web, ou plutôt devrait-on dire, le « réseau alternatif », demeure un mystère pour de nombreux internautes. Dans une immersion au cœur de l'obscurité numérique, nous vous révélons comment fonctionne ce monde clandestin, où l'anonymat est roi et sur lequel on retrouve évidemment du mauvais (drogues, armes, attaques informatiques, données personnelles volées), mais aussi des professionnels de la cybersécurité, qui s'y tiennent informés.
Pierre-Antoine Failly-Crawford (PAFC), responsable de l’équipe de réponse aux incidents chez Varonis, nous accompagne sur ce monde très vaste, où la prudence reste de mise.
Le dark web, c'est quoi en deux mots ?
Le réseau est aujourd'hui composé de services qui fonctionnent au-dessus de la couche internet. Ce sont des services qui, sur chaque machine, permettent de s'interconnecter les uns aux autres, de manière sécurisée et « anonyme » (nous y reviendrons), pour pouvoir proposer ces derniers sans avoir à passer par des opérateurs qui nous donnent l'accès obligatoirement ou explicitement.
D'un point de vue cyber, lorsqu'une entreprise, une organisation ou toute entité est compromise, le hacker a tout intérêt de valoriser cette activité, et de faire en sorte de vendre les informations qu'il a pu récupérer. Il peut alors les héberger sur un réseau alternatif, qu'est le dark web.
Ce que garantit (ou pas) le dark web en termes d'anonymat
Quelle différence, dans la protection de son identité, entre une navigation sur Internet via un navigateur traditionnel, et des outils comme le célèbre TOR (The Onion Router) ? PAFC nous explique :
- Prenons l'exemple d'une navigation sur un serveur, Facebook.com. Actuellement, sur Internet, le serveur qui reçoit la connexion sait qui je suis et d'où je viens. Le bloc IP français qui appartient à tel ou tel FAI, admettons Orange, fait qu'on peut le contacter pour lui demander qui est le client, donc qui se cache derrière l'utilisateur.
- Le dark web, lui, permet de ne pas contacter directement le serveur à partir de mon IP publique, mais de passer par différentes machines successives, de faire des sauts au sein de ce réseau alternatif, pour sortir par un nœud (intermédiaire) qui n'est pas du tout identifiable par une autorité compétente. Ce sera très compliqué de remonter jusqu'à l'utilisateur.
Il est compliqué de remonter jusqu'à l'utilisateur donc, mais ce n'est pas impossible ? « Dès lors que l'on fait des sauts à travers différents nœuds, il y a des connexions, des capacités d'identification et de compréhension du chemin utilisé pour pouvoir arriver au serveur web en question. Quand on passe par TOR, les certificats sont autosignés, et il y a moins de sécurité de manière générale. Quand on est sur un nœud de sortie TOR, on a la capacité de pouvoir déchiffrer le trafic entre le client et le serveur, parfois pour récupérer des informations intéressantes », explique Pierre-Antoine.
Comment accède-t-on au dark web ?
Le moyen le plus courant pour accéder au dark web, c'est le navigateur TOR. Les adresses, ici, ne se terminent pas en « .fr » ou « .com », mais en « .onion ». « C'est représentatif du fait que l'adresse est hébergée sur ce réseau alternatif. Une personne a créé le nom de domaine "onion.ly", qui est hébergé sur Internet classiquement, et qui est un espèce de proxy web qui permet d'accéder à l'application "onion.ly", ce qui ensuite permet, via cette dernière, d'accéder à toutes les ressources sous-jacentes ».
Une fois présent sur le dark web, il vous faudra régulièrement franchir des captcha (souvent propriétaires, parfois dans une langue que votre clavier ne connaît pas, comme le russe) qui empêchent les robots de saturer les différents services du dark web, qui ne sont pas capables d'accueillir une multitude de connexions simultanément.
Qu'est-ce qu'on y retrouve ?
Il n'y a pas de découpage à proprement parler sur le dark web, mais on peut en revanche opérer une classification de ce qu'on y retrouve. Pierre-Antoine Failly-Crawford le résume parfaitement bien pour nous : « vous avez ce qu'on peut appeler des marketplaces, des sortes d'Amazon du réseau alternatif ; mais aussi une partie communautaire, avec les forums, qui est d'ailleurs intéressante ; et toute la partie Hack/RaaS (Ransomware-as-a-service), dans laquelle on retrouve les groupes de hackers, les attaques qu'ils mettent à disposition et les fichiers qu'ils vendent ».
Les marketplaces du dark web
Elles sont très nombreuses et donnent accès à différents produits physiques ou informatiques. Il est étonnant de découvrir la variété des vendeurs. Certaines marketplaces sont des mastodontes de ce marché, d'autres se lancent en solo. La plateforme Eternity, qui ne propose quelques « articles », n'est possiblement gérée que par une seule personne. Dessus, on y retrouve :
- un voleur d'information pour une machine spécifiquement, à 300 dollars,
- des vers qui vont pouvoir se latéraliser plus rapidement sans avoir à faire de recherche ni à coder, pour 370 dollars,
- ou encore des ransomwares à 470 dollars, que l'on peut récupérer puis réutiliser.
Mais une marketplace, un site qui revend certains produits informatiques, doit reposer sur la confiance, pour qu'elle soit efficace, et pour qu'elle génère de l'argent. « Sur notre exemple Eternity, le produit vendu peut être aussi bon qu'être une souche complètement inefficace pour laquelle il n'y aura même pas de déchiffreur », ajoute notre expert de Varonis.
D'autres plateformes, comme Dark Matter, présente plus de services, comme des produits digitaux (livres), des tutoriels, mais aussi des malwares, des botnets, des kits d'exploitation.
Le dark web, ce sont aussi parfois des déçus, ou des hackers un peu trop gourmands, à la limite entre le bien et le mal, pourrait-on dire. Ceux du bug bounty (chausseur de bugs) par exemple. « Certains peuvent avoir envie de vendre le code d'exploit parce que la société en question n'a pas un bon bug bounty et qu'elle ne valorise pas suffisamment cette partie recherche et développement. Alors, on peut retrouver des exploits vendus pour quelques euros ».
Les forums (l'aspect communautaire)
En parallèle des marketplaces, on retrouve les forums. Pierre-Antoine nous explique leur utilité : « la seule possibilité de créer un lien de confiance avec ce type de plateforme, c'est d'en parler et de les valoriser, pour que plus de personnes les utilisent ». Les forums du dark web ne diffèrent pas franchement de ceux de l'Internet grand public. « Des gens se parlent, s'échangent des informations sur la véracité ou la fiabilité de tels sites, telles personnes et autres ».
Sur le forum Dread, qui présente de larges similitudes avec un Reddit, on retrouve tout un tas de sujets, que les utilisateurs peuvent faire remonter s'ils les jugent pertinents. L'un d'eux avait pour objectif de demander ce que vaut une nouvelle marketplace, Slatt, qui souffrirait de certaines vulnérabilités.
Un fournisseur de messagerie du dark web, DNMX, a vu récemment ses serveurs être confisqués par les services de renseignement, le 13 octobre 2023. En réaction, l'effet communautaire fut très important, pour notamment prévenir le risque que 200 Go d'e-mails pouvaient être récupérés. « Car oui, on parle de serveurs physiques, qui se trouvent quelque part, et que les autorités peuvent donc confisquer ».
Un autre forum, Libre, permet carrément de créer son propre fil d'actualités sur le dark web, pour suivre les tendances, les fuites, les incursions des autorités ou encore les nouveaux sites bannis et autres. OnniForums est une autre plateforme communautaire bien connue.
Dans le même genre, des plateformes comme Tordex fonctionnent exactement sur le même modèle que Google : à partir de mots clés, vous pouvez trouver les actualités, sites et informations correspondant. Nous avons fait le test avec une recherche sur le ransomware Ragnar-Locker, dont le cerveau vient d'être arrêté à Paris. Étonnement, les informations sur le sujet étaient relativement peu récentes.
Plus globalement, toutes les infos dont nous venons de parler ont été agrégées à un outil, assez formidable dans son architecture : The Hidden Wiki. « C'est une sorte de Wikipédia qui recense tous les gros services que l'on peut retrouver pour le blanchiment d'argent, pour mixer ses bitcoins etc. C'est un service haut de gamme, très bien structuré », décrit notre expert Varonis.
De nombreux liens vers des services commerciaux, des services d'e-mailing (DNmax, Proton), la version onion de Facebook, des sites de leak, complètent sur architecture. Sur The Hidden Wiki, on retrouve tout simplement tout ce qu'on peut avoir sur le dark web.
Le dark web, ce sont aussi des outils comme le RAT (Remote Administration Tool), qui à la base fut créé pour la bonne cause : aider à distance à résoudre certaines problèmes informatiques. Mais le RAT, téléchargeable comme un simple logiciel, a été détourné pour une utilisation plus obscure.
« Utilisé sur iOS ou Android, un RAT peut aider à récupérer tout un tas d'informations, comme les SMS, MMS, les conversations WhatsApp, Messenger et autres, et ainsi contrôler tout cela à distance. Ensuite, les pirates se livrent à du phishing, d'autres font de l'espionnage, comme certaines sociétés bien connues qui ont fait l'actualité ces dernières années », explique Pierre-Antoine.
On retrouve aussi des plateformes communautaires, sortes de GitHub qui vont par exemple proposer de récupérer le code source d'une vulnérabilité AMD Zen 2, le code source de GTA III ou GTA Vice City.
La partie Hack / RaaS du dark web
C'est ici que le modèle économique du dark web prend tout son sens : on y retrouve des attaques informatiques toutes prêtes à l'emploi, valorisées par les acteurs qui font du ransomware et dont le but est de gagner de l'argent. Certaines revendent leur code, comme Maze. Venom essaie aussi de vendre le code et propose des packages as-a-service.
Sur Venom, plusieurs offres sont proposées aux utilisateurs, dont une offre très complète « à vie » pour à peine 600 dollars. « Et l'intérêt n'est pas ici de voler les gens. Les pirates savent qu'ils doivent être honnêtes dans les prestations livrées, il en va de leur crédibilité ».
Dans le même style, Ranion, l'un des groupes les plus connus et les plus innovants, proposent de nombreuses mises à jour de ses composants, ainsi que différentes offres. « Le business model est bien établi, et ils font preuve de transparence en montrant que leur déchiffreur fonctionne parfaitement ». Un support est même proposé pour la plupart des packages.
Lockbit, mastodonte du dark web
Nous voulions terminer ce tour d'horizon en vous parlant un moment de Lockbit, connu pour son imparable ransomware. Imaginez qu'en entrant sur leur plateforme, vous faites face un captcha anti-DDOS, ce qui vous donne une idée du professionnalisme du groupe. Sur sa page, Lockbit dévoile carrément la liste des victimes qu'il a pu compromettre. En vert, on devine que le ransomware est sur le réseau de la victime, que la rançon n'a pas été payée dans les temps, donc que la donnée a été publiée et est accessible gratuitement désormais. En rouge, on retrouve les victimes pour lesquelles Lockbit détient les données et avec lesquelles le groupe est en relation. Un compte à rebours et parfois même le montant réclamé figurent dans la liste.
Sans surprise, nous avons découvert, durant notre immersion, de nombreux fichiers confidentiels : des factures intégrales appartenant à un groupe français spécialisé dans la logistique par exemple ; ou encore les résultats d'analyses complètes appartenant à des patients d'un célèbre laboratoire français, piraté cette année.
Plus de 50 % des sociétés françaises attaquées en 2022 ont payé une rançon. Et si vous doutez de « l'éthique » (ce mot peut surprendre, on vous l'accorde) des pirates, aucun acteur piégé n’a regretté d'avoir payé. « Un jour, il y a eu un problème dans le paiement : l'entreprise avait dit avoir récupéré le déchiffreur, sauf que celui-ci avait un problème. Il y avait une limite physique : dès que le fichier pesait plus de 5 Go, on ne pouvait plus déchiffrer. Mais c'est extrêmement rare ! », nous raconte Pierre-Antoine.
Les groupes n'ont en tout cas, et nous l'expliquions plus haut, aucun intérêt à ne pas respecter leur engagement de départ. Même entre eux, les groupes doivent aujourd'hui faire attention, car ils font face à une réalité économique. S'ils veulent réaliser le plus grand nombre de compromissions possible, ils ont besoin de moyen pour « recruter », et ainsi maintenir leur activité.