Ce billet est inspiré d’un talk donné par Benjamin Brown lors de la Nuit du Hack 2017. Vous pouvez d’ailleurs trouver notre résumé sur les différents talks ici.

Prologue

Benjamin Brown est un chercheur travaillant sur le darkweb, l’évaluation des risques, la gestion des incidents ainsi que la résilience des systèmes chez Akamai Technologies.
Il a travaillé pour de grandes multinationales, des académies ainsi que des projets à but non lucratif, il a également un diplôme en étude anthropologique et en sciences internationales.
Ses recherches portent sur des études ethnographiques du darkweb et du deepweb, les différents vecteurs d’attaque, les systèmes radio, la psychologie et l’anthropologie dans la sécurité informatique, les techniques métacognitives de l’analyse informationnelle, le profilage des auteurs de menaces, ainsi que d’envisager la sécurité dans un système écologique complexe.

Le premier marché noir sur Tor a ouvert il y a 6 ans. Depuis, cette période a été marquée par une croissance exponentielle ainsi que des innovations et des adaptations.
Avec plus de 30 marchés noirs actifs sur le darkweb ainsi que d’innombrables boutiques personnelles, nous sommes très loin d’en voir le bout.

Durant cette conférence, l’auteur explique les différences fondamentales entre le deepweb, le darkweb ainsi que le darknet.

Ensuite, Il explore différents frameworks utilisés sur le darknet (c’est vrai, Tor ne sert pas qu’à alimenter la cybercriminalité). Il présente également un peu l’historique en matière de cybercrime, de vente d’herbe sur ARPANET et de groupes de discussions. Nous verrons ainsi les débuts du commerce parallèle sur le darkweb.

Puis l’état actuel du darkweb ainsi que les moyens mis en place par les gouvernements et les forces de l’ordre pour répondre à ce nouveau front du crime.
Enfin, il met en avant quelques récentes législations et contrôles qui ciblent la base des technologies utilisées par le darkweb et ses utilisateurs.

Pour finir, nous verrons quelques technologies émergentes qui intègreront les prochains systèmes économiques du darkweb.

Quelques définitions importantes pour éviter les amalgames :

• Le Deepweb est la partie immergée de l’iceberg (qu’est le World Wide Web). Il s’agit de tout ce qui est accessible depuis un navigateur mais qui n’est pas référencé par les moteurs de recherches. Par exemple, lorsque vous accédez à un service privé protégé par un mot de passe (votre compte bancaire en ligne) vous êtes dans le web profond.
• Les Darknets sont les réseaux restreints et incluent web, email, chat, partage de fichier et routage obscurcie de l’internet.
• Le Darkweb représente tous les services accessibles depuis un navigateur web spécifique (par exemple Tor browser).

Ainsi le début des années 70 marque les premières fraudes sur Arpanet avec la vente de marijuana et les vols d’argent via systèmes électroniques dès 1964 (fraude découverte “quelques” années plus tard, en 1973).

Le terme de Darknet avait un sens différent d’aujourd’hui. Il s’agissait des réseaux qui n’envoyaient aucune information à l’Arpanet. Ils pouvaient en recevoir, mais comme Arpanet était militaire, ils utilisaient des part feux ou autres pour des raisons de sécurité. Il n’y avait aucun moteur de recherche pour ces réseaux. Pour la petite anecdote, tous ces réseaux périphériques qu’étaient les darknets, sont devenus les pierres de fondation de notre internet moderne.

Les décennies 1980/1990 ont été marquées par l’essor des collectifs de hackers (Chaos Computer Club, Legion of Doom, Chinese Hokners) et des grosses attaques sur les banques et les médias.
Ces groupes ont commencé à être reconnus dans les médias, le nombre d’attaques augmentant sérieusement et notamment sur les sites gouvernementaux.

La riposte gouvernementale

Les gouvernements se sont donc trouvés dans l’obligation de répondre à ces vagues de cybercriminalité.

En 1981 apparait le premier séminaire de formation d’Interpol pour les enquêtes sur les cybercrimes.

En 1982, les Etats-Unis d’Amériques votent le terrible « Computer Fraud and Abuse Act » qui est toujours grandement utilisé.

En 1988, les Lois Godfrain arrivent en France ainsi que la formation de l’agence de fraude informatique, aussi connue sous le nom de DST. La France est pionnière des pays européens dans les lois et équipes luttant contre la cyber fraude.

En 1989, le Conseil Européen émet des recommandations sur les lois à adopter contre le cybercrime et comment lutter. C’est là-dessus que la plupart du reste de l’Europe va baser ses lois.

En 1990, le Royaume-Uni sort le « Computer Misuse Act » et en 1998 le G8 met en place une hotline d’experts enquêteurs pour aider les pays et polices.

Vient alors l’âge des premières guerres de cryptographie.

Entre 1990 et 1992 survient la grande répression des hackers (« the great hacker crackdown »), une des plus grandes opérations fut l’opération « Sundevil » avec le FBI, les services secrets et d’autres forces de l’ordre qui se sont réunis pour cibler et mettre à mal les systèmes de bulletins électroniques illégaux mais également Phrack (qui est un magazine électronique underground toujours actif). La NSA était également de la partie, de nombreux BBS ont commencé à fermer pour éviter les poursuites.

Entre 1994 et 1995, les débits des fournisseurs d’accès à internet augmentent fortement, ce qui ouvre l’apparition des images boards, soft board, et services de messagerie qui viennent tuer les BBS.

Les darknets

Un darknet doit respecter les contraintes suivantes  :

1. Ce doit être un réseau isolé
2. Il doit être difficilement indexable

Les Usenet sont des systèmes de messagerie où l’on utilise des flux de messages pour communiquer avec les autres. Ils sont toujours utilisables aujourd’hui mais utilisés principalement pour la piraterie.

C’est la naissance du spam en masse, de la « sporgery » (qui signifie « forge spam » où l’on usurpe l’identité d’un tiers), les botnets de grande taille (qui sont des spams bots automatiques).

Sur le même modèle, les « cancel bots » apparaissent, cherchant à annuler les effets des spams bots, puis les « forge cancels » viennent inhiber les « forge spams ».

En 1994, on assiste à une forte diminution de l’usage des Usenet provoquée par 3 raisons principales :

• Apparition du fournisseur AOL, permettant à de nombreux utilisateurs d’accéder à ces Usenet, ce qui provoque une grosse augmentation de personnes qui ne savent pas s’en servir et qui dérangent.
• Augmentation de la saturation du réseau et du stockage avec toutes ces nouvelles personnes, ce qui provoque un désengouement de la part des fournisseurs d’accès à internet à l’hébergement de Usenet.
• Le procureur général de New York sévit sur les Usenet sous motif de la pornographie juvénile que l’on pouvait y trouver. Ce qui provoque la fermeture de nombreux Usenet de la part des fournisseurs d’accès pour ne pas enfreindre la légalité.

Les discussions relayées par internet (« Internet Relay Chat » ou IRC) sont des services de messagerie qui étaient utilisés pour parler de commérage, d’hacking, etc… On pouvait usurper (volontairement ou involontairement) le pseudo d’un tiers, on y trouvait beaucoup de logiciels piratés, d’œuvres sous propriété intellectuelle, livres numérisés, pornographie, malware, IRC bots…

C’est à ce moment-là que l’achat et la vente de drogues par internet explose. Il y en avait très peu sur les BBS et Usenet contrairement aux IRC qui étaient riches en drogues et blanchiment d’argent. Il y était coutume de défier les écoutes de la NSA en ajoutant des mots clefs dans une conversation pour déstabiliser l’espionnage des conversations.

Le temps des réseaux pair à pair (« Peer to Peer », P2P) correspond à l’explosion de fichiers échangés, et donc d’œuvres sous propriété intellectuelle, de virus, malware… Il s’agissait de darknets par la nature des échanges (décentralisés) et de l’absence d’un vrai moteur de recherche sur ces réseaux à l’époque.

Le Sneakernet (ou « Tennis-Net », « Armpit-Net », « Floppy-Net’ » ou « ShoeNet ») est une méthode de transfert de fichier sans réseau informatique, qui fonctionne par exemple par l’intermédiaire de clés USB ou de disques durs externes. Ce système est toujours utilisé dans certains pays où l’on peut trouver des tables pleines de clefs USB avec des musiques ou films « piratés ».

Entre 2003 et 2005, des opérations géantes dénommées « firewall » et « anglerfish » sont menées à l’international par la CIA, les services secrets, Interpol et les autres forces de l’ordres pour fermer ces services.

Clearnet Markets

Dans la section suivante, nous avons pu étudier les Clearnet Markets : Open(ish) DIgital Criminal Web :

• 2000 : The counterfeit library (diploma mill, ID fraud resources)
• 2001 : CarderPlanet (credit card fraud, grosse communauté russ)
• 2002 : ShadowCrew (vol de données, evolution de TCL, vol d’identité)
• 2003-2005 : Major global LE Focus (opérations Firewall et Anglerphish) => disparition des gros forums et séparation en nouveaux et petits forums…
• 2004-2006 : CardersMarket (Iceman/Max Butler, hacked and merged other forums)
• 2007-Aujourd’hui : Hacked or shut down BY LE / “Whack-a-mole” fraud forums

Les monnaies digitales

Avec ces marches numériques, les devises « en or numérique » font leur apparition.

Les 3 principales furent :

1. eGold
2. Pecunix
3. iGolder

Leur ambition était de mettre en place une monnaie mondiale convertible en or, et donc garantie sur un stock d’or. Aujourd’hui elles sont quasiment éteintes, Pecunix s’est déplacé dans un autre marché et les deux autres ont été stoppées.

Entre 2006 et 2013 la plus grande e-devise pour le cybercrime fut « Liberty Reserve » qui était surnommée la banque du marché noire (« The Black Market Bank »). Elle était connue pour le blanchiment d’argent à grande échelle.

Cryptocurrencies

Il y a plusieurs crypto-monnaies que l’on peut choisir. Le choix de Benjamin Brown est incontestablement le Coinye, qui est comique selon lui car Kanye West fut en colère de voir l’illustration basée sur sa tête.

Bitcoin

La crypto-monnaie emblématique date de 2009, personne ne connaît son ou ses réels créateurs (seulement le pseudo de « Satoshi Nakamoto ») et il s’agit de la plus large en termes de capitalisation boursière.

C’est la première monnaie des Darknets.

Elle possède un livre de transactions libre et décentralisé, ce qui fait qu’elle n’est pas anonyme.

Litecoin

Il s’agit d’un fork du Bitcoin, avec tous les problèmes d’anonymat qui vont avec. Il s’agit de la 4^ème crypto-monnaie en matière de capitalisation.

Ethereum

Ethereum est à la fois une crypto-monnaie, mais également un protocole d’échanges décentralisés pour construire des applications distribuées, résistantes aux hacks et aux tentatives de mise à mal.

Elle a augmenté de 300% en valeur au cours du mois de Juin 2017.

Monero

Créée en 2014, elle est axée sur la vie privée et donc intéresse le Darknet. C’est la 6^ème plus importante capitalisation boursière et sûrement la plus rapide augmentation de valeur. Elle cache des métadonnées et autres informations de sa chaîne de bloc.

Toutes ces crypto-monnaies ont de vrais usages mais également un usage criminel. De très nombreux ransomware demandent de payer la rançon en Bitcoin, Monero ou une autre crypto-monnaie.

Des malwares sont spécialisés dans le minage de ces crypto-monnaies à l’insu de leurs victimes. Il y a même des fonctions de minage dans les botnets IoT, pas forcément très judicieux.

Elles sont utilisées dans le blanchiment d’argent et dans l’échange de biens et services illégaux.

Modern darknets

Le tout premier n’avait pas de composant web, seulement des services de messagerie, du partage de fichier, etc. Les trois plus grands, toujours actifs, sont :

1. OneSwarm
2. Tribler
3. RetroShare

Puis viennent ceux qui supportent les sites web, à commencer par Tor (mais nous allons voir qu’il n’y a pas que Tor).

 Tor

C’est le plus populaire, développé initialement par la DARPA (« Defense Advanced Research Projects Agency ») entre 1994 et 1997 mais a été publié sous licence publique. Il utilise un « routage en oignon » (qui lui vaut son nom « The Onion Routing ») avec plusieurs couches d’encryptions.

C’est de loin le plus vaste Darknet et la plus importante plateforme pour les marchés du Darknet.

Freenet

Sorti en 2000 et concentré sur la liberté d’expression. Il est construit de façon à ce que si un nœud du réseau tombe, le service est toujours accessible grâce à une redondance des données. Il est basé sur du chiffrement, ce qui augmente la sécurité mais a pour inconvénient d’être plus lent et gourmand en ressources.

I2P (« Invisible Internet Project »)

Sorti en 2003, c’est le second plus important. Il utilise un routage en « ail » qui est une extension du routage en « oignon ». Il n’est pas seulement concentré sur l’anonymat de navigation web, mais l’anonymisation de tous les protocoles réseaux (POP, SMTP, IRC…).

Gnunet

Sorti en 2001, ce n’est pas un Darknet par défaut, mais ça en devient un dès que l’on utilise en mode Ami à Ami (« Friend To Friend »). Il a fortement gagné en popularité avec les révélations de Snowden.

Netsukuku

Sorti en 2006, c’est le plus petit et encore en développement. Contrairement à ce que son nom suggère, les créateurs sont italiens. Il possède son propre protocole de routage QSPN (« Quantum Shortest Path Netsukuku (routing algorithme) ») et son système de DNS distribué et décentralisé ANDNA (« A Netsukuku Domain Name Architecture »). C’est encore en pré-alpha et il n’y a pas encore eu de test à grande échelle.

Il est conçu pour gérer un nombre illimité de nœuds avec des ressources minimales, en puissance de calcul et en mémoire, empruntées par chacun des ordinateurs reliés entre eux. Netsukuku peut ainsi être utilisé pour bâtir un réseau mondial distribué, anonyme et anarchique, distinct d’Internet, sans recourir à aucun serveur, fournisseur d’accès ou autorité de contrôle. Netsukuku est conçu pour construire un réseau “physique” qui ne se fonde sur aucun autre réseau existant. Il doit par conséquent y avoir des ordinateurs reliés « physiquement », Netsukuku créant ensuite les routes.

C’est donc un concurrent d’Internet tel qu’on le connait.

Zeronet

Il se place au milieu, il est basé sur la cryptographie réseau de BitTorrent et la cryptographie du Bitcoin (ce qui n’est pas anonyme).

Riffle

C’est le plus prometteur, annoncé l’année dernière, développé par le laboratoire du MIT, il se dit 10 fois plus rapide que Tor et plus sécurisé. Il pourrait très vraisemblablement détrôner Tor. C’est en pré-alpha et il n’y a pas eu de test à grande échelle mais la technologie et l’équipe derrière ce projet le rende très convoité.

The farmer’s Market

Adamflowers

Le premier datant de 2006, c’est un site du Clearnet, il utilisait hushmail pour faire ses transactions, qui se revendiquait comme encrypté et sécurisé alors qu’en fait il travaillait en collaboration avec les forces de l’ordre.

Il s’est déplacé du Clearnet à Tor pour gagner en sécurité et anonymat.

C’était le premier véritable marché du Darknet avec un service à la clientèle tel un point de vente. Ils acceptaient l’argent liquide, Western Union, Pecunix, e-golder et paypal (ce qui est la pire idée). Ils enregistraient 3000 utilisateurs aux heures de pointe dans 55 pays, uniquement destinés à la vente de drogues.

La riposte gouvernementale a mis fin aux activités du site en 2012 lors de l’opération « AdamBomb » menée par la DEA avec les autorités Colombiennes, Hollandaises et Écossaises. L’encryptions avec Tor n’était pas fautive, seulement l’utilisation de Paypal et Hushmail qui était un honeypot. Les autorités avaient ainsi accès à toutes les transactions et messages, ainsi que les déplacements d’argents. De plus, une collaboration avec les services de livraison a permis de prouver la présence de drogue dans les livraisons.

Atlantis

Apparu en 2013, c’est le premier marché à accepter le Litecoin en plus du Bitcoin, et qui n’était pas limité à la vente de drogue (clefs de produits Microsoft, tutoriels, numéros de cartes bancaires volées, etc…). Ils étaient les premiers à produire des vidéos commerciales assez comiques (https://www.youtube.com/watch?v=uD1y0kK_aH8). Ils pratiquaient également l’arnaque de confiance (les envois n’avaient pas lieu mais l’argent était retiré).

Silk Road

Premier marché moderne avec un service d’intermédiaire et une notation des vendeurs sur la qualité de leurs produits, les temps de livraison, etc…

Une première version du site a été fermée par le FBI en octobre 2013, mais une nouvelle version du site est de nouveau disponible quelques semaines plus tard par une autre personne sous le même pseudo Dread Pirate Roberts, avant d’être à nouveau fermée par le FBI le 6 novembre 2014.

Ils utilisaient uniquement Bitcoin et donc l’anonymat n’était pas total.

Et alors dans le futur ?

Dark Wallet

C’est un nouveau type de portefeuille pour le Bitcoin qui implémente les paiements furtifs. Il propose également les fonctionnalités de multi-signatures, la possibilité d’utiliser un tiers de confiance et des transactions obfusquées pour l’analyse des transactions. C’est actuellement en pré-alpha.

Dash

Anciennement « Darkcoin ».

Particl

Une plateforme open source, décentralisée et anonyme. Le futur des marchés du Darknet. 750k dollars ont déjà été levés. Très similaire à Etsy, mais avec une messagerie, des transactions et portefeuille cryptées dans une seule plateforme.

Zcash

Très orienté sur l’anonymat.

US Rule 41

Il s’agit d’une loi américaine récemment modifiée, autorisant l’état américain à s’introduire dans l’ordinateur de n’importe quelle personne, dans n’importe quel pays, dès lors que l’ordinateur est suspecté d’appartenir à un botnet.

Le Royaume-Uni a récemment fait un changement similaire.

Conclusion

Actuellement, beaucoup de ces marchés existent encore, d’autres ont été arrêtés, hackés ou ont simplement disparu. Sur ces marchés, on peut trouver de tout : identités, drogues, matériel de hack…
Quant au futur de ces marchés, il est évidemment assuré, même si la problématique principale à adresser est la garantie de l’anonymat, que ce soit au niveau des personnes mais aussi des transactions effectuées.

Ainsi, j’espère que ce billet vous éclairera un peu sur les darknets et leurs liens avec la cybercriminalité.
Le but était de partir des années 70 à aujourd’hui mais en analysant la cybercriminalité sous l’œil purement financier (on ne parlait pas de défacement de site).
Finalement, on peut se rendre compte dans les divers scénarios de vol ou d’usurpation, les mêmes enjeux sont toujours présents : argent, drogue et sexe ; à part les outils, pas grand chose n’a changé depuis presque 50 ans 😉