Article de reference

Dark Web

Le dark web désigne le contenu du World Wide Web accessible via des darknets ( réseaux superposés ) qui utilisent Internet , mais nécessitent des logiciels, des configurations o...

Page semi-protégée

Le dark web désigne le contenu du World Wide Web accessible via des darknets ( réseaux superposés ) qui utilisent Internet , mais nécessitent des logiciels, des configurations ou une autorisation spécifiques pour y accéder. Grâce au dark web, des réseaux informatiques privés peuvent communiquer et mener des activités de manière anonyme sans divulguer d'informations permettant d'identifier un utilisateur, comme sa localisation. Le dark web constitue une petite partie du deep web , la partie du web non indexée par les moteurs de recherche , bien que le terme « deep web » soit parfois utilisé à tort pour désigner spécifiquement le dark web.

Les réseaux qui constituent le dark web comprennent de petits réseaux d'entraide , ainsi que de grands réseaux populaires tels que Tor , Hyphanet , I2P et Riffle, exploités par des organisations publiques et des particuliers. Les utilisateurs du dark web désignent le web classique comme « clearnet » en raison de son absence de chiffrement . Le dark web Tor, également appelé « onionland » utilise la technique d'anonymisation du trafic par routage en oignon sous le suffixe de domaine de premier niveau .onion .

Terminologie

Définition

Le dark web est souvent confondu avec le deep web , c'est-à-dire les parties du web non indexées (non consultables) par les moteurs de recherche. Le terme « dark web » est apparu pour la première fois en 2009 ; cependant, on ignore la date d'apparition du dark web proprement dit. De nombreux internautes n'utilisent que le web de surface , c'est-à-dire les données accessibles via un navigateur web classique . Le dark web constitue une petite partie du deep web, mais son accès nécessite un logiciel spécifique. Cette confusion remonte au moins à 2009. Depuis, notamment dans les articles consacrés à Silk Road , les deux termes ont souvent été amalgamés, malgré les recommandations préconisant de les distinguer.

Logo du logiciel Tor

Le dark web, également appelé darknet, est accessible uniquement via des réseaux tels que Tor (projet « Onion Routing »), conçus spécifiquement pour le dark web. Le navigateur Tor et les sites accessibles via Tor sont largement utilisés par les utilisateurs du darknet et sont identifiables par le domaine « .onion ». Les navigateurs Tor créent des points d'entrée et des chemins chiffrés pour l'utilisateur, permettant ainsi ses recherches et actions anonymes sur le dark web.

L'identité et la localisation des utilisateurs du darknet restent anonymes et intraçables grâce au système de chiffrement multicouche . La technologie de chiffrement du darknet achemine les données des utilisateurs à travers un grand nombre de serveurs intermédiaires, protégeant ainsi leur identité et garantissant leur anonymat. Les informations transmises ne peuvent être déchiffrées que par un nœud ultérieur du système, jusqu'au nœud de sortie. La complexité du système rend quasiment impossible la reconstitution du cheminement des nœuds et le déchiffrement des informations couche par couche. Grâce au haut niveau de chiffrement, les sites web ne peuvent pas suivre la géolocalisation ni l'adresse IP de leurs utilisateurs, et ces derniers ne peuvent pas obtenir ces informations concernant l'hôte. Ainsi, la communication entre les utilisateurs du darknet est hautement chiffrée, leur permettant de discuter, de bloguer et de partager des fichiers en toute confidentialité.

Contenu

Services Web en oignon en février 2016
Catégorie % du total% d'actifs
Violence
0,3
0,6
Bras
0,8
1.5
Activités sociales illicites
1.2
2.4
Piratage
1.8
3.5
Liens illicites
2.3
4.3
pornographie illicite
2.3
4.5
Extrémisme
2.7
5.1
Autres illicites
3.8
7.3
Finance illicite
6.3
12
Drogues illicites
8.1
15,5
Non illicite + Inconnu
22.6
43.2
Total illicite
29.7
56,8
Inactif
47,7
Actif
52,3

Une étude menée en décembre 2014 par Gareth Owen de l' Université de Portsmouth a révélé que le type de contenu le plus fréquemment hébergé sur Tor était la pornographie infantile , suivie par les marchés noirs , tandis que les sites individuels présentant le trafic le plus élevé étaient dédiés aux opérations de botnets (voir la métrique ci-jointe). De nombreux sites de lanceurs d'alerte y sont présents , ainsi que des forums de discussion politique. Les sites associés au Bitcoin , aux services liés à la fraude et aux services de vente par correspondance figurent parmi les plus prolifiques.

En décembre 2020, on estimait à 76 300 le nombre de sites Tor actifs dans l’extension .onion (contenant de nombreuses copies). Parmi ceux-ci, 18 000 proposaient du contenu original.

En juillet 2017, Roger Dingledine , l'un des trois fondateurs du projet Tor, a déclaré que Facebook était le plus grand service caché. Le dark web ne représente que 3 % du trafic du réseau Tor.

Une étude de février 2016 réalisée par des chercheurs du King's College de Londres présente la répartition suivante du contenu selon un ensemble de catégories alternatives, mettant en évidence l'utilisation illicite des services .onion.

Ransomware

Les groupes de ransomware s'appuient sur l'infrastructure du dark web tout au long du cycle de vie d'une attaque. Les opérateurs de ransomware-as-a-Service (RaaS) recrutent des affiliés via des forums du dark web tels que RAMP et, avant leur interdiction suite à l' attaque Colonial Pipeline de 2021 , Exploit et XSS. Sur ces plateformes, ils proposent des kits d'outils, des structures de commission offrant généralement aux affiliés 60 à 80 % des rançons perçues, et vérifient les partenaires potentiels. La plupart des groupes de ransomware les plus importants exploitent également des sites de fuite de données dédiés sur le réseau Tor , dans le cadre d'un modèle de double extorsion inauguré par le groupe Maze en novembre 2019. Dans ce modèle, les données volées sont publiées ou menacées de publication si les victimes refusent de payer. Des groupes tels que LockBit , ALPHV/BlackCat et Cl0p hébergent des données provenant de centaines d'organisations victimes. Plutôt que de mener l'intégralité du cycle de vie d'une attaque de manière indépendante, de nombreux groupes affiliés à des attaques de ransomware achètent un accès réseau préétabli auprès de courtiers d'accès initial (IAB), des acteurs malveillants spécialisés qui compromettent les organisations par des méthodes telles que l'exploitation de systèmes vulnérables, le phishing ou l'utilisation d'identifiants provenant de logiciels malveillants voleurs d'informations , et revendent cet accès sur des forums clandestins. Les prix sont généralement fixés en fonction de facteurs tels que le chiffre d'affaires de la victime, le type d'accès (VPN, RDP, Active Directory) et la localisation géographique. Cette division du travail a créé une chaîne d'approvisionnement criminelle efficace qui abaisse la barrière technique à l'entrée pour les attaques de ransomware.

Botnets

Les réseaux de bots sont souvent structurés avec leurs serveurs de commande et de contrôle basés sur un service caché résistant à la censure, créant une grande quantité de trafic lié aux bots.

marchés du Darknet

Les marchés commerciaux du darknet servent d'intermédiaires dans les transactions de biens illégaux et utilisent généralement le Bitcoin comme moyen de paiement. Ces marchés ont fait l'objet d'une importante couverture médiatique, à commencer par la popularité de Silk Road et sa fermeture ultérieure par les autorités. Silk Road fut l'une des premières places de marché du dark web, apparue en 2011, et a permis le commerce de drogues illégales , d'armes et de ressources pour l'usurpation d'identité . Ces marchés n'offrent aucune protection à leurs utilisateurs et peuvent être fermés à tout moment par les autorités. Malgré leur fermeture, d'autres apparaissent. En 2020, on recensait au moins 38 places de marché actives sur le dark web, et il pourrait y en avoir bien plus. Ces places de marché sont similaires à eBay ou Craigslist , où les utilisateurs peuvent interagir avec les vendeurs et laisser des avis sur les produits.

Des études ont été menées sur les différences de prix entre les marchés du darknet et les prix pratiqués dans le commerce traditionnel ou sur Internet, ainsi que sur la qualité des biens reçus via le darknet. Une de ces études a porté sur Evolution, l'un des marchés de cryptomonnaies les plus populaires, actif de janvier 2013 à mars 2015 Bien que les informations numériques, telles que les méthodes de dissimulation et le pays d'expédition, semblent « exactes », l'étude a révélé des problèmes de qualité concernant les drogues illégales vendues sur Evolution, indiquant que « la pureté des drogues illicites diffère des informations figurant sur leurs annonces respectives » . Les marchés du darknet ont également fourni des informations de cartes de crédit divulguées et mises à disposition gratuitement

Services Bitcoin

Le bitcoin est l'une des principales cryptomonnaies utilisées sur les marchés du dark web en raison de sa flexibilité et de son anonymat relatif. Avec le bitcoin, il est possible de dissimuler ses intentions et son identité. Une pratique courante consiste à utiliser un service d'échange de cryptomonnaies qui convertit les bitcoins en monnaie virtuelle (comme les pièces d'or dans World of Warcraft ), laquelle est ensuite reconvertie en monnaie fiduciaire. Les services de mixage de bitcoins sont souvent disponibles sur Tor , et certains, comme Grams , proposent une intégration avec les marchés du darknet. Une étude menée par Jean-Loup Richet, chercheur à l' ESSEC , en collaboration avec l' Office des Nations Unies contre la drogue et le crime , a mis en lumière de nouvelles tendances dans l'utilisation des services de mixage de bitcoins à des fins de blanchiment d'argent , via des comptes séquestres .

Du fait de son importance dans le monde numérique, le bitcoin est devenu un outil populaire pour escroquer les entreprises. Des groupes cybercriminels tels que DDOS « 4 » ont perpétré plus de 140 cyberattaques contre des entreprises depuis l'apparition du bitcoin en 2014. Ces attaques ont favorisé la formation d'autres groupes cybercriminels ainsi que le développement du cyber-extorsion.

Groupes et services de piratage

De nombreux pirates informatiques vendent leurs services individuellement ou au sein de groupes. Parmi ces groupes figurent xDedic , hackforum , Trojanforge, Mazafaka , dark0de et le marché du darknet TheRealDeal . Certains sont connus pour traquer et extorquer des personnes soupçonnées de pédophilie. Des services de cybercriminalité et de piratage informatique destinés aux institutions financières et aux banques sont également proposés sur le dark web. Diverses organisations gouvernementales et privées ont tenté de surveiller cette activité, et une analyse des outils utilisés est disponible dans la revue Procedia Computer Science . Des attaques par déni de service par réflexion distribuée ( DRDoS ) à l'échelle d'Internet ont également été menées via le dark web. De nombreux sites .onion frauduleux proposent des outils à télécharger infectés par des chevaux de Troie ou des portes dérobées .

Récemment, environ 100 000 informations de connexion compromises d’utilisateurs de ChatGPT ont été vendues sur le dark web en 2023. De plus, les journaux ont montré, de l’avis des chercheurs, que la majorité des mots de passe ChatGPT compromis avaient été extraits par le virus voleur de données Raccoon.

Financement et fraude

Scott Dueweke, président et fondateur de Zebryx Consulting, affirme que les cryptomonnaies russes telles que WebMoney et Perfect Money sont à l'origine de la majorité des activités illégales. En avril 2015, Flashpoint a reçu un investissement de 5 millions de dollars pour aider ses clients à collecter des renseignements sur le dark web. On y trouve de nombreux forums de carding , des sites de trading PayPal et Bitcoin , ainsi que des services de fraude et de contrefaçon. Nombre de ces sites sont eux-mêmes des arnaques. Le phishing via des sites clonés et d'autres sites frauduleux est fréquent, et les marchés du darknet sont souvent annoncés avec des URL frauduleuses.

pornographie illégale

Le type de contenu le plus populaire sur le dark web est la pornographie illégale, et plus précisément la pédopornographie . Environ 80 % du trafic web y est lié à l'accès à ce type de contenu, malgré sa difficulté à être trouvé, même sur le dark web. Un site web appelé Lolita City , depuis fermé, contenait plus de 100 Go de contenu pédopornographique et comptait environ 15 000 membres.

Les forces de l'ordre mènent régulièrement des actions contre les sites diffusant de la pornographie infantile , souvent en compromettant le site et en traquant les adresses IP des utilisateurs . En 2015, le FBI a mené une enquête et a démantelé le site web Playpen . À l'époque, Playpen était le plus important site de pornographie infantile du dark web, avec plus de 200 000 membres . Ces sites utilisent des systèmes complexes de guides, de forums et de modération communautaire . Parmi les autres contenus figurent des actes de torture et de mise à mort d'animaux à caractère sexuel , ainsi que des images à caractère sexuel diffusées à des fins de vengeance . En mai 2021, la police allemande a annoncé avoir démantelé Boystown , l'un des plus grands réseaux de pornographie infantile au monde sur le dark web ; le site comptait plus de 400 000 utilisateurs inscrits. Quatre personnes ont été arrêtées lors de perquisitions, dont un ressortissant du Paraguay , soupçonné de gérer le réseau. Europol a indiqué que plusieurs sites de discussion pédophiles avaient également été démantelés lors de cette opération de renseignement menée par l'Allemagne.

Terrorisme

Dès les années 1990, des organisations terroristes ont investi Internet ; l’avènement du dark web les a attirées en raison de l’anonymat, de l’absence de réglementation, des interactions sociales et de la facilité d’accès. Ces groupes ont exploité les plateformes de discussion du dark web pour inspirer des attentats terroristes. Ils ont même publié des tutoriels expliquant comment devenir terroriste et dissimuler son identité.

Le dark web est devenu un forum de propagande terroriste, de diffusion d'informations et, surtout, de financement. L'introduction du Bitcoin a permis la création de transactions anonymes, autorisant ainsi les dons et les financements anonymes. En acceptant le Bitcoin, les terroristes ont pu financer l'achat d'armes. En 2018, un individu nommé Ahmed Sarsur a été inculpé pour avoir tenté d'acheter des explosifs et d'engager des tireurs d'élite pour aider des terroristes syriens, ainsi que pour avoir tenté de leur apporter un soutien financier, le tout via le dark web.

Il existe au moins quelques sites web, authentiques et frauduleux, prétendant être utilisés par l'EI (Daech), dont un faux site saisi lors de l'opération Onymous . Le développement des technologies a permis aux cyberterroristes de prospérer en exploitant les failles de ces technologies. Après les attentats de Paris de novembre 2015 , un site de ce type a été piraté par GhostSec , un groupe de hackers affilié à Anonymous , et remplacé par une publicité pour le Prozac . Le groupe islamiste Rawti Shax a également été actif sur le dark web.

Réseaux sociaux

Au sein du dark web, des plateformes de médias sociaux émergent, similaires à celles du Web classique : les réseaux sociaux du dark web (DWSN). Les DWSN fonctionnent comme des réseaux sociaux traditionnels : leurs membres peuvent créer des profils personnalisables, avoir des amis, aimer des publications et participer à des forums. Facebook et d’autres plateformes de médias sociaux classiques ont commencé à développer des versions dark web de leurs sites web afin de pallier les problèmes liés aux plateformes traditionnelles et de maintenir leur service sur l’ensemble du Web. Contrairement à la plupart des médias sociaux traditionnels, la politique de confidentialité des DWSN exige que ses membres ne divulguent aucune information personnelle et restent anonymes.

Canulars et contenu non vérifié

Des cas d' assassinats financés par crowdfunding et de tueurs à gages ont été signalés ; cependant, il s'agirait exclusivement d'escroqueries. Le créateur de Silk Road , Ross Ulbricht , a été arrêté par le service des enquêtes de sécurité intérieure (HSI) pour son site et pour avoir prétendument engagé un tueur à gages afin d'assassiner six personnes, bien que les charges aient été abandonnées par la suite. Une légende urbaine prétend qu'il est possible d'assister à des meurtres en direct sur le dark web. Le terme « Red Room » a été forgé d'après le dessin animé japonais et la légende urbaine du même nom ; cependant, les preuves tendent à démontrer que tous les cas rapportés sont des canulars .

Le 25 juin 2015, le jeu indépendant Sad Satan a été testé par les youtubeurs d'Obscure Horror Corner , qui affirmaient l'avoir trouvé sur le dark web. Plusieurs incohérences dans leur reportage jettent le doute sur leur version des faits. De nombreux sites web analysent et surveillent le deep web et le dark web afin d'y détecter les menaces.

Surveillance du dark web

Certains affirment que le dark web favorise les libertés individuelles, telles que la liberté d'expression, le respect de la vie privée et l'anonymat. Cependant, certains procureurs et agences gouvernementales craignent qu'il ne serve de refuge à des activités criminelles . Le web profond et le dark web sont des applications de fonctionnalités intrinsèques d'Internet visant à garantir la confidentialité et l'anonymat. La surveillance consiste à cibler des activités spécifiques du web privé jugées illégales ou soumises à la censure d'Internet .

Lors d'enquêtes sur des suspects en ligne, la police utilise généralement l'adresse IP (Internet Protocol) de l'individu ; cependant, l'anonymat assuré par les navigateurs Tor rend cette tactique impossible. Par conséquent, les forces de l'ordre ont recours à de nombreuses autres tactiques pour identifier et arrêter les personnes impliquées dans des activités illégales sur le dark web. L'OSINT , ou renseignement en sources ouvertes, désigne les outils de collecte de données qui recueillent légalement des informations provenant de sources publiques. Certains outils OSINT sont spécifiques au dark web et permettent aux agents de trouver des informations qui les mèneront à mieux comprendre les interactions qui s'y déroulent.

En 2015, Interpol a lancé un programme de formation dédié au dark web, axé sur des informations techniques concernant Tor, la cybersécurité et des simulations de démantèlement de marchés du darknet. En octobre 2013, la National Crime Agency (NCA) et le GCHQ britanniques ont annoncé la création d'une « Cellule d'opérations conjointes » chargée de lutter contre la cybercriminalité. En novembre 2015, cette équipe a été chargée de combattre l'exploitation des enfants sur le dark web, ainsi que d'autres formes de cybercriminalité. En mars 2017, le Service de recherche du Congrès (CRS) a publié un rapport exhaustif sur le dark web, soulignant l'évolution de la dynamique d'accès et de présentation de l'information sur cette plateforme. Caractérisé par l'inconnu, le dark web suscite un intérêt croissant chez les chercheurs, les forces de l'ordre et les décideurs politiques. En août 2017, selon un reportage, les entreprises de cybersécurité spécialisées dans la surveillance et l'analyse du dark web pour le compte des banques et des détaillants partagent régulièrement leurs conclusions avec le FBI et d'autres services de police « lorsque cela est possible et nécessaire » concernant les contenus illégaux. Le milieu clandestin russophone proposant un modèle de crime à la demande est considéré comme particulièrement robuste.

Journalisme

De nombreux journalistes , médias alternatifs , enseignants et chercheurs exercent une influence considérable en abordant le sujet du dark web et en expliquant son utilité au grand public. La couverture médiatique du dark web s'articule généralement autour de deux axes : soit elle met en avant la liberté d'expression qu'il permet, soit, plus fréquemment, elle réaffirme l'illégalité et la crainte liées à son contenu, notamment les activités de piratage informatique. De nombreux titres associent le dark web à la pédopornographie, comme par exemple : « Un homme du New Jersey inculpé pour avoir navigué sur le dark web et collecté près de 3 000 images pédopornographiques » , ainsi qu'à d'autres activités illégales, les médias le décrivant comme « une plaque tournante des marchés noirs de la drogue ».

Des sites d'information spécialisés dans le web classique, tels que DeepDotWeb et All Things Vice , proposent une couverture de l'actualité et des informations pratiques sur les sites et services du dark web ; toutefois, DeepDotWeb a été fermé par les autorités en 2019. Le Hidden Wiki , ainsi que ses sites miroirs et ses forks, hébergent certains des plus grands répertoires de contenu. Les médias traditionnels et les chaînes d'information, comme ABC News (Australie) , ont également publié des articles analysant le darknet.