Darknet 101 : exploration en eaux profondes les recoins les plus sombres d’Internet

Dans l’esprit collectif, le Darknet est le siège des pires activités criminelles, là où tout peut se vendre et s’acheter. Mais le Darknet offre aussi aux journalistes et activistes un terrain de lutte, sous couvert d’anonymat, pour la liberté d’informer et le droit à la protection de la vie privée.

Le Darknet recouvre différents concepts et technologies qu’il convient de différencier. Je vous propose d’en faire la visite guidée… Pour commencer la visite, il convient tout d’abord de s’accorder sur un certain nombre de définitions.

  • Qu’est-ce que le Darknet ?

Tout d’abord le Darknet. Il s’agit d’une couche d’infrastructure réseau superposée accessible uniquement au moyen de logiciels et de configurations spécifiques ou sur autorisation, souvent via des ports et des protocoles de communication non-standard. Sur le Darknet, on trouve le Dark web : il s’agit ici du contenu disponible sur le Darknet. Il faut ensuite différencier le deep web du dark web. Le deep web est une partie du web mondial (World Wide Web) dont les contenus ne sont pas indexés par les moteurs de recherche standard pour différentes raisons.

Enfin, le Darknet se différencie du Clearnet, à savoir les contenus non chiffrés qui ne dépendent pas du Darknet. L’anonymat y est peu préservé puisque la plupart des sites web identifient leurs visiteurs par leur adresse IP.

  • Qu’est-ce qu’on y trouve ?

On peut trouver à peu près tout ce que l’on cherche. Surtout ce qui est illégal. Le Darknet est un endroit dangereux, siège d’activités illicites ou underground…

Il se caractérise par la présence de places de marché en ligne où l’on peut acheter et vendre différents types de biens et de ressources numériques en échange de bitcoins et d’autres cryptodevises. Les places de marché se multiplient actuellement sur le Clearnet et le Darknet. Les cybercriminels fréquentent volontiers ces sites qui vendent à peu près tout ce que l’on peut imaginer, et notamment des logiciels malveillants (malware), des contrefaçons, des drogues et des armes, des services d’attaques DDoS, des numéros de cartes de crédit volés...

  • Les réseaux anonymisés

Les gens pensent souvent à tort qu’il est excessivement compliqué et technique d’avoir accès au Darknet. Or, depuis quelques années, c’est au contraire devenu très simple et intuitif. Des réseaux anonymisés qui se présentent sous forme d'une couche logicielle permettant aux applications (navigateur internet, client mail, logiciel peer-to-peer...etc) de se connecter au net de manière chiffrée proposent une documentation très fournie aux novices et il existe quantité de forums et de tutoriels pour se familiariser avec ces réseaux. Certaines places de marché du Darknet sont réservées aux membres ou ne fonctionnent que sur invitation, de façon à contrôler qui voit et a accès aux services qu’elles proposent.

Plusieurs options s’offrent à l’utilisateur pour accéder au Darknet. Il a le choix entre Tor, The Onion Router, et I2P, pour Invisible Internet Project. Chacun a ses avantages et ses inconvénients, le choix dépend des intentions de l’utilisateur.

Le plus célèbres d’entre eux est sans doute Tor, un proxy internet anonyme qui dirige le trafic via un réseau mondial composé de milliers de relais volontaires. Tor encapsule les messages sous plusieurs couches chiffrées et les envoie via un circuit bidirectionnel de relais à l’échelle du réseau Tor.  Ce proxy propose aussi un répertoire central qui permet de gérer ce que l’on voit du réseau.

Les nouveaux utilisateurs de Tor se voient proposer une documentation basique. L’approche est si simple que Tor est  devenu très populaire aux yeux des utilisateurs lambda en quelques années. L’offre groupée Tor Browser Bundle facilite grandement la connexion à Tor de l’utilisateur moyen. Au fil des années, de très nombreuses études universitaires se sont penchées sur Tor et le projet dispose aujourd’hui de financements très importants. La seule préoccupation qui demeure concerne la fiabilité des nœuds de sortie de Tor. Des pirates peuvent créer des nœuds de sortie malveillants ou espionner le trafic en sortie du réseau. La meilleure utilisation de Tor est donc celle d’un proxy pour naviguer de façon anonyme sur Internet.

I2p est une couche réseau pour communiquer de façon anonyme en peer-to-peer, réservée à des services internes. Des ordinateurs équipés de I2P peuvent ainsi s’échanger des données chiffrées de bout en bout. I2P utilise des tunnels unidirectionnels et des couches de chiffrement alors que les tunnels de Tor sont bidirectionnels.

I2P n’est pas très connu par rapport à Tor. Peu d’études universitaires s’y sont intéressées, mais tous les utilisateurs ont accès à une riche documentation. Le nombre limité des proxies sortants à destination d’Internet est l’un des inconvénients de I2P. La meilleure application d’i2P est celle du partage de fichiers en peer-to-peer.

Il n’est pas toujours facile d’accéder aux places de marché du Darknet si on ne sait pas ce que l’on recherche. Vous trouverez souvent des listes de services cachés ou de liens .onion sur des sites du Clearnet, comme Reddit et DeepDotWeb. TheHiddenWiki.org est recommandé pour commencer à rechercher des services cachés et des places de marché, de même que DNstats.net. DNstats donne des informations à jour sur le statut des places de marché et des actualités sur les nouveaux sites mis en ligne.

Parmi les places de marché du Darknet, on compte par exemple AlphaBay, Valhalla, Dream, Hansa, The Real Deal, DHL ou encore Outlaw.

Quelques moteurs de recherche sont utiles également sur le Darknet. Les deux plus populaires sont Grams,  qui s’inspire de Google, et Torch. Ces deux sites permettent de rechercher du contenu sur les places de marché et d’autres services cachés présents sur le Darknet.

Ces marchés n’ont rien de spécial ou d’unique mais ils ont gagné en popularité après l’arrêt du site Silk Roads. Certains marchés sont présents à la fois sur le Darknet et le Clearnet. Des sites comme 0day today, hack forums, TorCrds, Hell et d’autres vendent des articles similaires à ceux du Darknet et acceptent les bitcoins. Et on peut normalement trouver des services identiques à ceux du Darknet sur un certain nombre de forums de piratage tels que V3rmillion, Raid Forums, GreySec, RealForums, ou encoreEvilzone.

La plupart des vendeurs acceptent les Bitcoins ou d’autres types de cryptodevises. Sur de nombreux sites, ils doivent s’acquitter d’une forme d’acompte pour être autorisés à vendre des produits ou services sur le site. La valeur de ces acomptes est comprise entre 0,1 et 1 BTC. Certains sites fermés au public exigent des nouveaux venus qu’ils soient recommandés par un membre sans quoi l’accès à la place de marché leur sera interdit.

De nouveaux sites émergent chaque année, une dizaine l’an dernier. Cette année, LEO Market, TheDetoxMarket et Apple Market sont quelques-unes des nouvelles places de marché en ligne. Certains de ces sites ne restent pas longtemps sur le Darknet, ils sont souvent piratés ou mis hors service par la concurrence.

L’essor des places de marché spécialistes des vecteurs d’attaques et le recours à un réseau qui préserve l’anonymat comme le Darknet sont des tendances vouées à s’intensifier dans les années à venir à mesure que les pratiques de piratage se démocratiseront et deviendront accessibles au plus grand nombre.