vendredi 7 février - par Desmaretz Gérard

Darknet, la face cachée du Web

Au mois de juin 2018, l'Office central pour la répression de l'immigration irrégulière et l'emploi d'étrangers sans titre repère « Haurus » sur le site « black Hand » qu'il signale au service de lutte contre la cybercriminalité. Le profil laisse à penser à un hacker ayant réussi à pénétrer dans les systèmes de l'État, ou à un fonctionnaire de police ayant accès à ces fichiers. La piste va conduire à Cédric D, un brigadier de police qui instrumente dans une unité anti-terrorisme de la DGSI ! Les enquêteurs vont découvrir que le brigadier et son compagnon menaient grand train, partant régulièrement en voyage et descendant dans les grands hôtels... Ce policier, moyennant 100 à 300 euros, fournissait des factures téléphoniques détaillées, des données de géolocalisation, des « doublettes » (emprunt d'une identité réelle), de faux documents d'identité et permis en échange d'un paiement en bitcoins ou de cartes prépayées Neosurf... Parmi les clients du brigadier : « un ancien braqueur qui a acheté des informations de géolocalisation sur trois personnes, dont deux membres du milieu ont été assassinées à Marseille en avril et mai et l'autre a été victime d'une tentative d'assassinat » ! Le brigadier a opéré de décembre 2017 à fin septembre 2018, date de sa mise en examen.

Neuf mois plus tard, c'était un adjudant de la gendarmerie du Centre de lutte contre les criminalités numériques (C3n) qui « tombait ». Christophe P. qualifié d'« enquêteur brillant » proposait ses services sous le pseudo « Shoint ». « Vengeance ? Envie de faire craquer un collègue sous la pression ? Vous serez débarrassé de votre rival(e) sans vous salir les mains ». Les tarifs s'échelonnaient de 50 euros pour une « cyberpression » à 350 euros pour une filature, services que le client pouvait régler par des « livraisons discrètes de drogues et autres marchandises ». Le gendarme « Shoint » a été suspendu de ses fonctions le 21 juin 2019, mis en examen et incarcéré, puis placé sous contrôle judiciaire (libéré) le 9 octobre. L'ancien gendarme est poursuivi pour « détournement de fichiers informatiques », « divulgation de données confidentielles », « entrave aggravée aux investigations judiciaires », « trafic d’influence », « association de malfaiteurs ». FrenchDeepweb sur lequel opéraient les deux membres des FdO a été démantelés en juin 2019.

Internet est un regroupement de réseaux publics et privés permettant l'interconnexion de ces divers réseaux ; le Web regroupe les ressources : consultation de sites, e-mails, service en ligne, etc. Les fournisseurs de Services Internet sont inter-connectés les uns avec les autres via Global Internet eXchange ou NetWork Acces Point. Le moteur de recherche Google indexe 65 % du contenu du Web alors que le Dark Web serait 500 fois plus étendu que le Web (source Nature) ! Dark net désigne une partie d'Internet dans lequel tout un chacun peut surfer et communiquer de manière confidentielle (dans certains pays, cela suffit à vous désigner suspect). Le Dark net est utilisé par : les lanceurs d’alertes - les journalistes - les citoyens désireux de contourner la censure - les internautes soucieux de leur vie privée - les acheteurs de cryptomonnaies - les pirates - les curieux - et les clients du black market (trafics d'organes, d'armes, de fausse-monnaie, faux-papiers, médicaments, etc.) ou du dream market. Ne jetons pas le bébé avec l'eau du bain, les activités délictueuses représentent quatre pour-cents des connexions.

The Onion Routeur qui reste le plus populaire a été développé dans les années 1990 par USNavy et le DARPA afin de permettre aux agents américains de communiquer anonymement. TOR est un réseau décentralisé privé qui offre une passerelle (gateway) vers le Dark net. La demande de connexion adressée au FAI n'est non plus établie avec l'URL désirée, mais passe par plusieurs points du réseau un peu comme le ferait une ribambelle d'anonymizers en cascade. Tor est un réseau multiproxy dans lequel chaque utilisateur devient lui même un proxy (mandataire), plusieurs millions d'Internautes partagent leur adresse IP à travers le monde ! Le message chiffré passe par trois relais au minimum (circuit Tor) et les nœuds sont réinitialisés toutes les 10 minutes de façon pseudo aléatoire. Chaque relais déchiffre l'adresse du précédent et du suivant nécessaires au bon acheminement.

La navigation requiert un navigateur spécifique (Tor, Freenet, GNUnet) pour accéder aux sites .onion (hidden wiki liste les URL non indexées par thèmes). Le browser (navigateur ou butineur) Tor (open source codé en « C », Python et Rust) est téléchargeable sur Tor Project (à mentionner Tor bootable sur clé USB, aucune trace sur le PC) et des mises à jour sont proposées afin de contrer les failles découvertes. Le navigateur ne conserve aucun journal (log) ni ne sauvegarde les données. Le navigateur installé, faire un saut sur whatismyip.com afin de s'assurer que l'adresse IP qui s'affiche est bien différente de celle d'origine... Il faut aussi un moteur de recherche, le choix ne manque pas : TorSearch - Grams - City - Evil, on en compte une vingtaine. Certains sont accessibles directement depuis Chrome, Firefox, Safari, exemple ahmia.fi, si l'adresse IP n'est pas dissimulée, cela permet cependant de se faire une petite idée du contenu du Dark Web sans installer Tor. (Onion over VPN permet de se connecter à Tor sans son navigateur dédié)

Publicité

Le nœud de sortie (Exit Node) qui se connecte au service demandé supprime la dernière couche de chiffrement, si la connexion n'est pas établie avec un site HTTPS (cadenas vert fermé, SSL), il peut espionner l'activité... Tor utilise par défaut le service HTTPS Everywhere qui sélectionne la version la plus sécurisée disponible sur le site, mais toujours vérifier l'URL du site consulté pour s'en assurer (bouton de la barre bleue ou verte). N’importe qui peut mettre en place un « Exit Node » (aucun organisme de certification), plus il y a de nœuds sortants, plus le réseau Tor dispose de bande passante.

Des pirates n'ont pas tardé à mettre en place leur propre « Tor Exit Node » pour intercepter le trafic sortant (« hidden-service ») et infecter des exécutables Windows et des fichiers Torrent en y ajoutant une porte dérobée. MiniDuke découvert par Kaspersky est un programme malveillant qui a été utilisé pour espionner des organisations gouvernementales européennes. Selon F-Secure, le nœud sortant de Tor était hébergé en Russie... D'où l'intérêt de doubler la navigation avec un chiffrement de bout en bout, l'exit node ne pourra en analyser le trafic ni y placer une ligne de code ; certains hébergeurs n'autorisent pas la présence de nœuds Tor sur leur réseau et scannent les IP connectées afin de s'assurer qu'elle ne sont pas utilisées comme proxy…

Le navigateur Tor bloque par défaut les plugins javascript (No script) : Flash, RealPlayer, Youtube, QuickTime, etc., qui peuvent être corrompus et révéler l'adresse IP. Le niveau de sécurité reste adaptable (il suffit de cliquer sur le petit oignon vert). Par prudence, ne jamais installer de plugin ou add-on supplémentaire ni logiciel non indispensables dans le navigateur Tor. Prendre pour habitude de changer d'« identité » après chaque surf : ctrl+shift+U. Cela vaut aussi pour les autres navigateurs (pages consultées lors de la session).

Ne jamais ouvrir de documents téléchargés via Tor en ligne, toujours se défier des pièces jointesaux e-mails... Les fichiers annexés peuvent contenir des éléments qui nécessitent d'être téléchargés sur Internet en dehors de Tor ! Si on double-clique, le navigateur Tor Browser alerte sur le risque encouru, il est préférable de télécharger la pièce jointe et de l'ouvrir en mode « hors connexion » (déconnecté d'Internet), soit utiliser VirtualBox en machine virtuelle avec le réseau désactivé, ou d'utiliser Tails (The Amnesic Incognito Live System). Tor Browser Bundle est pré-configuré pour protéger son utilisateur à condition de toujours passer par le navigateur Tor lui-même et aucun autre.

Entre Tor ou Torrent il faut choisir ! certainement pas les deux en même temps. Si l'on souhaite télécharger des fichiers Torrent, ne jamais le faire quand on utilise Tor ! Même si vous indiquez à : µTorrent - Vuze - Transmission - Deluge ou celui de votre box Internet d'utiliser Tor, votre demande sera la plupart du temps ignorée et votre session connectée directement au site et votre surf via le navigateur Tor ne sera plus privé ! Les deux sont incompatibles. Quand bien même l'application Torrent se connecterait via Tor, elle mouchardera l'adresse IP (requête GET tracker) ! Il est possible de réduire les risques en configurant Tor de façon à utiliser une passerelle Tor au lieu de se connecter directement au réseau public. Pour les « bidouilleurs », un Raspberry PI permet la création d'un point d’accès « Onion Pi » avec n'importe quel objet connecté : https://www.numerama.com/tech/161911-faire-routeur-wifi-connecte-reseau-tor-raspberry-pi.html.

L'anonymat en P2P ou assimilé reste problématique sauf à choisir et paramétrer un Virtual Private Network (tunneling) correctement. Un VPN assure la transmission chiffrée des données de bout-en-bout entre deux machines et bloque les connections entrantes non autorisées. Il y a deux façons d'utiliser un VPN : Tor sur VPN, tout le trafic passe d’abord par Tor avant d'être redirigé vers le VPN, l'adresse IP est modifiée dès le nœud d'entrée, mais la vulnérabilité en sortie reste possible. VPN sur Tor chiffre la connexion de bout en bout (trafic centralisé) mais comment être certain que le fournisseur du VPN n'analyse pas le trafic ni qu'il n'enregistre l'adresse IP ou DNS ?

Publicité

Quel VPN choisir ? posez-vous les bonnes questions : que/qui s'agit-il de protéger et contre qui/quoi - est-il adapté à l'OS (Windows, Mac, Android, Linux) - « no-log » - le chiffrement proposé AES, 3DES (256 bits), clés DHE-RSA (4.096 bits), authentification SHA512) - quel protocole (PPTP, SSTP, L2TP, IKEv2, Stealth) - localisation du fournisseur - adresse IP dédiée ou mutualisée - combien de serveurs - pays couverts - filtres d'application proposés - reconnexion automatique - antivirus dédié - mises à jour régulière - mode de paiement (cryptomonnaie) - VPN intégré au navigateur, installé sur l'ordinateur, sur la box, ou intercalé entre le routeur (pass-trough) et le réseau domestique. Attention, des FAI ne permettent pas l'installation d'un VPN entre le réseau privé et leur box en pass through (vérifier s'il est possible de basculer en bridge)... Un saut sur le Dark net permet de s'assurer que la clé pour le VPN retenu n'y est pas proposée contre quelques centièmes de bitcoin...

VPN gratuit ou payant (abonnement environ 5 $/mois et/ou boitier 60 $) ? Jugez-en, ce dernier enregistre : adresse e-mail du compte - nom d'utilisateur - clé de la licence - échéance de l'abonnement (quelques euros/mois) - horodatage des connexions - sous-réseau IP d'origine - adresse IP du serveur utilisé - quantité de données transmises - système d'exploitation - numéro téléphone en cas d'appel de la hotline - les cookies (clic sur une proposition) - stabilité - partage d'informations avec un antivirus (connu pour sa gratuité) appartenant au même groupe... La plupart des métadonnées sont conservées 30 jours, d'autres (techniques, la désinstallation) deux ans ! Nombre de VPN gratuits font de même et utilisent la connexion de l'hôte afin de redistribuer de la bande passante aux clients « premium » ! Rien n'est gratuit, Internet génère des profits qui sont à l'origine d'une lutte féroce entre les acteurs économiques, tout visiteur est un client, et les États (affaire Huawei, Cisco). Ceux qui espèrent avoir le beurre, l'argent du beurre et le c.. de la crémière devront revoir leurs desiderata et privilégier une configuration exotique...

Le firewall de la RPC bloque plus d'une centaine de VPN et détecte les serveurs Layer2 Tunneling Protocol sur serveurs Internet Protocol Security avec double encapsulation (port 1701 pour configuration et 500 pour l'échange de clés). Pour berner la Grande muraille électronique chinoise, combien de temps..., il faut une couche d'« enfumage ». L'analyse Deep Packet Inspection se déroule automatiquement au niveau des Dslam chargés de redistribuer Internet. Tor qui fut bloqué en Iran eut l'idée de modifier l'apparence du trafic : HTPPS, SSL, VPN, Facebook, etc., et le parer d'un aspect plus quelconque (obfsproxy) réussissant à déjouer la censure...

Le 18 janvier, le président « essayez la dictature ! » s'est prononcé devant les maires réunis à Souillac (Lot) en faveur de la suppression de l'incognito avec la : « levée progressive de tout anonymat ». Les FAI, FSI et l'État étant incapables de garantir la sûreté d'Internet, la protection des données et de protéger le citoyen contre la fraude à la CB, les pirates, les spammeurs, etc., l'heure de se peaufiner une nouvelle identité ou « doublette » numérique va-t-elle devenir une nécessité ? Des idées, des commentaires ? merci pour le retour et le partage.

°°°°°°°°°°°°°°°°°°°°



17 réactions


  • pemile pemile 7 février 09:26

    @Desmaretz Gérard « des commentaires ? »

    Si vous vous adressez à des novices, l’article est incompréhensible et très confus. smiley


    • Ruut Ruut 7 février 10:24

      @pemile
      Il as pourtant des remarques pertinentes et techniquement précises.
      Le VPN rend en effet plus longue l’identification sur le NET.


    • pemile pemile 7 février 11:00

      @Ruut « Il as pourtant des remarques pertinentes et techniquement précises. Le VPN [...] »

      Bof, et sur le VPN, l’auteur déclare : "Un VPN assure la transmission chiffrée des données de bout-en-bout entre deux machines et bloque les connections entrantes non autorisées", c’est faux.


  • zygzornifle zygzornifle 7 février 09:56

    Il faut l’oignon Tor pour surfer sur le DarkNet .

    On y trouve vraiment de tout et pas mal de flics.

    Nous on a le MacronNet , il surfe sur les réformes de merdes , les crises sociale et sur vos compte en banque ....


  • Ruut Ruut 7 février 10:22

    L’anonymat du net est un mythe.

    A moins de disposer d’un équipement conséquent (réservé a des ressources hors d’un particulier), il est toujours possible de faire un trace back de n’importe quel action sur le NET.

    Le temps et la répétitivité jouent toujours contre l’anonymat.


    • pemile pemile 7 février 11:06

      @Ruut « L’anonymat du net est un mythe. »

      Pour un quidam depuis son domicile. Un méchant pirate qui prend possession d’une cascade de postes de quidams ou leurs réseaux wifi, comme faux papiers, n’a aucun besoin des outils cités dans cet article.


    • Ruut Ruut 8 février 22:26

      @pemile
      Nous aurions un OS National, nous ne serions plus un zombi potentiel.
      Mais nous avons délégué a des Nations étrangères cet élément important des systèmes informatiques, nous en payons le prix.


    • pemile pemile 8 février 23:53

      @Ruut « Nous aurions un OS National, nous ne serions plus un zombi potentiel. »

      Un OS national serait vite largué, une promotion de GNU/Linux pour contrer l’hégémonie de Windows aurait suffit, non ?


  • eau-pression eau-pression 7 février 12:39

    Des questions de citoyen

    l’avènement du web siffle-t’elle la fin de la partie pour le gendarme ?

    la déclaration de Macron vise-t’elle à éliminer les lanceurs d’alertes ?

    ceux qui croient que je joue aux énigmes vont-ils enfin comprendre ?

    pourquoi la CB marche-t’elle encore alors qu’en 1985, mes copains travaillant à l’informatique bancaire disaient : « je rends ma CB » ?


    • eau-pression eau-pression 8 février 10:55

      @Hugo Drax
      Merci de la réponse, surtout la seconde. Pour la première, je crois qu’on a été conscient assez rapidement que les brevets de Moreno ne désespèreraient pas les pirates, surtout que les DAB restaient des points d’intrusion faciles.

      J’ajouterai un détail qui a pour moi son importance. C’est qu’en globalisant le risque que représente le piratage (concrètement, en mettant en place un dispositif d’assurance pour masquer/colmater les faiblesses du système), on a manqué de respect à l’individu.
      Ce détail est le coeur du débat sur le gouvernement des algorithmes.


  • Samson Samson 7 février 15:51

    Perso, j’utilise Mullvad comme VPN (5€/mois) de base pour toutes mes connexions. Et il m’arrive en sus de recourir à Tor pour certaines.
    Les connexions sur Mullvad se font soit via OpenVPN, soit via Wireguard (plus léger, plus rapide et — au moins sur Linux ou il se présente comme un module du noyau - à mon avis plus sûr).

    Il y est possible pour chaque programme disposant de socket (SOCK dans les paramètres réseau) de se connecter à un point de sortie distinct du point d’accès (si mon point d’entrée est par exemple en Suède, je peux choisir un point de sortie en Serbie, en Espagne, à Hong Kong, ...).

    L’avantage d’un VPN (Virtual Private Network) est notamment de pouvoir télécharger ou visionner des programmes normalement réservés aux seuls nationaux (BBC, France Télévision, ...)

    Mais si même le recours à un VPN rend vos communications inaccessibles à votre FAI (Fournisseur d’Accès Internet) et par là aux « boîtes noires » que l’état français leur impose depuis Charlie, qui n’ont plus accès qu’aux données brutes (adresse de connexion, horaires et volume du trafic), l’anonymat vis-à-vis des GAFAM (Google-Amazon-Facebook-Apple-Microsoft), et par extension vis-à-vis des autorités étatiques à qui ils n’hésiteront pas un seul instant à fournir ou vendre vos données, reste des plus illusoires, quand il suffit sur n’importe quelle page recourant aux scripts de Google (captchas, tags, ...) ou Facebook, Instagram, ... d’autoriser un seul script pour qu’à peu près tout le surf à partir de cette IP lui soit désormais transparent.

    A noter qu’il est même inutile de s’en préoccuper dès qu’on utilise un système d’exploitation qui a déjà installé de base et par défaut son bureau de police logicielle sur votre appareil (Windows, Apple, Androïd, ...)

    Mais bon, faute de pouvoir totalement protéger son anonymat, un VPN bien configuré et quelques règles élémentaires de prophylaxie et d’hygiène sur le net — pour Firefox, les extensions Cookie AutoDelete, Decentraleyes, Disable WebRTC, HTTPS partout, NoScript, Referer Control, uBlock Origin (pour bloquer les pubs et, en mode avancé, autoriser les scripts par site), ... + utiliser par défaut Duck Duck Go comme moteur de recherche - permettent d’au moins limiter les curiosités et d’en augmenter substantiellement les coûts !

    Si çà peut aider quelqu’un, juste histoire que le concept de vie privée s’applique aussi en matière de communications électroniques. smiley

    Merci pour l’article, en vous présentant mes respectueuses salutations ! smiley


  • HELIOS HELIOS 7 février 16:46

    article intéressant, mais, hélas la volonté y est pourtant, vraiment peu didactique.

    Peu importe ce qui est compliqué ne se simplifie pas tout seul, cela se saurait.

    Donc, je rajouterai que ce qu’on nomme rapidement « Dark web » maintenant, surtout en parlant de chiffre comme Google montre 65% du web et que le Dark web serait 500 fois plus grand (cohérence des chiffres) la réalite est que ce qu’on nomme le « Dark web » ce sont les sites accessibles sans que ceux ci soient référencés sur un quelconque DNS de la planete.

    Qu’est-ce qu’un DNS (Domain Name Server) en français Serveur de Nom de Domaine... c’est un simple annuaire comme un annuaire télephonique... vous voulez appeler Mr Dupont, vous cherchez dans l’annuaire son numero de télephone a partir de son nom, vous le trouvez et vous appelez....

    Pour internet, vous voulez vous connecter a un site, (la suite est automatique, bien sur, pas comme le télephone) votre navigateur va consulter un DNS avec le nom du site que vous voulez visiter, ce DNS va répondre-renvoyer a votre navigateur l’adresse IP du site (c’est comme le numero de telephone) et votre navigateur pourra appeler le site que vous consulterez sur votre ecran.

    Pour le télephone, vous acceder avec un nom de famille, pour internet avec un nom de site, ce nom de site s’appelle nom de domaine... Agoravox est un nom de domaine..

    Le dark Web vous l’avez compris, ce sont comme les numéros de téléphone qui ne seraient pas dans l’annuaire, donc des sites qui ne sont pas dans les DNS.

    Petit détail maintenant....

    Ne pas être dans les annuaires pour un site ne veut pas dire que celui ci est illegal ou dangereux...

    il y a des quantités de sites qui n’ont pas besoin de l’etre, c’est a dire d’avoir un nom pour y acceder... en réalite, et selon les analyses des « spiders », qui sont des robots chargés de tester (scanner) TOUTES (ou presque) les adresses IP possibles afin de les réferencer sur les moteurs de recherches, il n’y a qu’une tres petite quantité de sites plus ou moins « dark » c’est a dire dédié a contourner certaines lois ou cacher des activités peu avouables.

    Les autres sont des sites techniques servant a recueillir des données d’appareillages (thermomètres et capteurs divers, vidéos, historiques techniques logs, commandes a distances) mais aussi des sites privés, familiaux, associatifs ... il y a par exemple de par le monde beaucoup de familles qui utilisent la box comme serveur et l’utilisent comme vous utilisez facebouk car les FAI offrent des adresses IP permanentes sans frais... (pas en France, bien sûr)

    Bon, voila, j’ai écrit ce qui se sait, mais ça peut servir... ce que dit l’auteur, avec raison, c’est que si vous voulez rentrer dans l’illégalité, il faut savoir ce que vous faites, et prendre les mesures adéquates.

    Sinon, votre « niveau » d’illegalité restera vos achats aux marcahnds ambulants, aux « puces » et sans factures....


    • pemile pemile 7 février 16:52

      @HELIOS « les FAI offrent des adresses IP permanentes sans frais... (pas en France, bien sûr) »

      Les adresses IP fixes sont gratuites chez Free.


  • foufouille foufouille 7 février 17:32

    un gros résumé fourre tout qui mélange tout.

    acheter des bitcoins reste légal et pas besoin de « dark net ».


  • ribouldingue ribouldingue 7 février 18:36

    Pour le novice en informatique qui veut garder l’anonymat, le mieux est d’aller dans un cyber café. Tu payes en espèces ta connexion. Anonymat garanti 100 %. Tu ne t’emmerdes pas à casquer des FAI hors de prix qui te balancent ton IP aux flics comme de bons gros collabos délateurs plus arnaqueurs les uns que les autres. Pour le téléphone mobile, tu fais pareil. Tu prends un vulgaire téléphone comme ceux utilisés par les dealers avec carte prépayée. Une fois ta carte épuisée tu balances la puce.


Réagir