Le nom « Darkweb » évoque les bas-fonds du web. Mais qu’est-ce que le Darkweb ? À quoi sert-il ?

Le web peut être divisé en trois parties définies par leurs niveaux d’accessibilité. Le web de surface, ou  » Clear web« , celui où tout un chacun navigue avec les moteurs de recherche généralistes, pèserait 10% de la volumétrie globale. Le web profond, ou  » Deep web« , constituerait les 90% restants : bases de données connectées, stockages de fichiers en cloud… soit tous les contenus qui ne sont pas accessibles aux robots des moteurs d’indexation. Enfin, le Darkweb n’est accessible qu’aux initiés à travers l’utilisation de techniques spécifiques.

Le Darkweb est constitué d’un ensemble de réseaux, les darknets, qui s’incarnent dans la quête de l’anonymat et de la confidentialité en ligne. Le plus emblématique, Tor, représenterait environ 60.000 sites pour 2,5 millions d’utilisateurs quotidiens (contre environ 2 milliards de sites pour le web). Le nom « Tor » vient de l’abréviation de « The Onion Routeur« , qui évoque un des points clés de son fonctionnement : 3 niveaux de chiffrement superposés à la manière des peaux d’oignon.

Créé aux USA dans les années 1990 par le US Naval Research Laboratory, Tor a évolué dans un contexte militaire avant de passer sous licence libre en 2004. Depuis 2006, c’est le projet open source «  The Tor Project «  qui en assure la maintenance, financé à hauteur de 3 millions de dollars .

Techniquement, Tor se caractérise par une architecture maillée basée sur un ensemble de relais, au nombre estimé de 7.000. Tous les logiciels de Tor sont librement disponibles en téléchargement sur le site du Tor Project. Le Tor Browser peut ainsi être téléchargé et installé facilement, permettant à tout un chacun de se connecter au réseau et de naviguer sur le web de manière anonyme et confidentielle.

Ses usages dépassent les intentions initiales

La navigation sur Tor se base sur des mécanismes complexes. Ces mécanismes sont relativement lents, ce qui pénalise quelque peu la rapidité de la navigation sur Tor. C’est cependant le prix à payer pour la garantie théorique d’anonymat et de confidentialité que procure Tor.

Le site officiel du Tor Project dresse une liste idéalisée des différents types d’utilisateurs. Mais la réalité est plus sombre : s’il est présenté comme un outil en faveur de la liberté de pensée et d’expression, ses usages dépassent les intentions initiales de ses créateurs : les bénéfices de l’anonymat et de la confidentialité permettent à de nombreuses activités criminelles de s’exercer en ligne à l’abri du regard des autorités.

Une étude menée en 2015 a posé des bases objectives de l’utilisation réelle de Tor. Elle a permis de démontrer que les HSE ( Hidden Service, la dénomination des « sites web » de Tor) se renouvellent rapidement : en 18 mois, environ 10% seulement des HSE ont subsisté, les autres ayant disparu et été remplacés par de nouveaux services.

Les statistiques d’usage montrent également qu’une partie significative du trafic va vers des sites de black market (trafic d’armes, de drogue…) et de pédophilie. Des traces d’activité intensive de botnets cherchant à se connecter à des HSE éteints évoquent aussi le rôle de Tor dans le montage ou la coordination de certaines attaques de type DDOS .

Les auteurs des malwares et autres ransomwares qui émaillent l’actualité ne sont pas en reste : ils peuvent se servir de Tor comme d’une structure de support à leurs attaques.

Par exemple, certaines versions de Wannacry se connectaient à Tor pour gérer la phase de paiement de la rançon en bitcoins. De même, les attaques APT passent souvent à travers Tor pour effacer les traces de leurs auteurs.

Se protéger des menaces du Darknet

Si les attaques cyber transitent souvent à travers Tor, pourquoi ne pas bloquer le trafic vers Tor pour les bloquer ou fatalement les perturber ?

C’est la stratégie proposée par certains éditeurs de Pare-Feu de Nouvelle Génération (NGFW). Mais en pratique, cela reste irréalisable : en effet, il existe des relais Tor non listés qui permettent notamment aux personnes vivant dans des états imposant la censure de se connecter à Tor sans risque d’être repérés. Une fois encore, les mesures destinées à préserver la liberté du web bénéficient aussi aux criminels.

Toutefois, Tor est très surveillé par les états, du seul fait de la présence des black markets et autres activités illégales en ligne.

L’actualité le rappelle régulièrement avec des annonces de démantèlement de sites illégaux, voire d’ arrestation des responsables. De plus, si on met en perspective l’histoire de Tor depuis sa création jusqu’à aujourd’hui, et notamment ses liens avec le gouvernement américain, on est fondé à se demander si les qualités d’anonymat et de confidentialité sont si robustes que cela . En tout état de cause, il convient d’user avec discernement de sa liberté en ligne, en toutes circonstances.

About the Author

Marc Lionti Directeur service Cyber Threat Intelligence

Marc Lionti est Directeur des Services Professionnels au sein de Bertin IT depuis près de 3 ans, où il anime et développe une offre de services d’investigation numérique sur sources ouvertes » à destination des entreprises et administrations. Il a été auparavant fondateur et gérant durant 13 ans de la société H5 audits, spécialiste français du monitoring des réseaux IP LAN et WAN des entreprises. Les produits de la société, développés dans le cadre d’un programme initié sous l’impulsion et grâce à l’expertise de Marc, équipent des entreprises et des administrations de premier plan en France. Auparavant Directeur des Services Professionnels de NetTest NQS (Network Quality of Services), Marc a créé et développé pendant 5 ans, une offre de services basée sur les technologies de monitoring de réseau et l’expertise de la société, qui a pesé environ 1 M d’euro. Ingénieur diplômé de l’Ecole des Mines de Paris en 1988, Marc a commencé sa carrière chez IBM, où il a exercé pendant 5 ans des fonctions d’ingénieur de process VLSI et de management d’investissements industriels