Darknet, la face cachée du Web

Neuf mois plus tard, c'était un adjudant de la gendarmerie du Centre de lutte contre les criminalités numériques (C3n) qui « tombait ». Christophe P. qualifié d'« enquêteur brillant » proposait ses services sous le pseudo « Shoint ». « Vengeance ? Envie de faire craquer un collègue sous la pression ? Vous serez débarrassé de votre rival(e) sans vous salir les mains ». Les tarifs s'échelonnaient de 50 euros pour une « cyberpression » à 350 euros pour une filature, services que le client pouvait régler par des « livraisons discrètes de drogues et autres marchandises ». Le gendarme « Shoint » a été suspendu de ses fonctions le 21 juin 2019, mis en examen et incarcéré, puis placé sous contrôle judiciaire (libéré) le 9 octobre. L'ancien gendarme est poursuivi pour « détournement de fichiers informatiques », « divulgation de données confidentielles », « entrave aggravée aux investigations judiciaires », « trafic d’influence », « association de malfaiteurs ». FrenchDeepweb sur lequel opéraient les deux membres des FdO a été démantelés en juin 2019.

Internet est un regroupement de réseaux publics et privés permettant l'interconnexion de ces divers réseaux ; le Web regroupe les ressources : consultation de sites, e-mails, service en ligne, etc. Les fournisseurs de Services Internet sont inter-connectés les uns avec les autres via Global Internet eXchange ou NetWork Acces Point. Le moteur de recherche Google indexe 65 % du contenu du Web alors que le Dark Web serait 500 fois plus étendu que le Web (source Nature) ! Dark net désigne une partie d'Internet dans lequel tout un chacun peut surfer et communiquer de manière confidentielle (dans certains pays, cela suffit à vous désigner suspect). Le Dark net est utilisé par : les lanceurs d’alertes - les journalistes - les citoyens désireux de contourner la censure - les internautes soucieux de leur vie privée - les acheteurs de cryptomonnaies - les pirates - les curieux - et les clients du black market (trafics d'organes, d'armes, de fausse-monnaie, faux-papiers, médicaments, etc.) ou du dream market. Ne jetons pas le bébé avec l'eau du bain, les activités délictueuses représentent quatre pour-cents des connexions.

The Onion Routeur qui reste le plus populaire a été développé dans les années 1990 par USNavy et le DARPA afin de permettre aux agents américains de communiquer anonymement. TOR est un réseau décentralisé privé qui offre une passerelle (gateway) vers le Dark net. La demande de connexion adressée au FAI n'est non plus établie avec l'URL désirée, mais passe par plusieurs points du réseau un peu comme le ferait une ribambelle d'anonymizers en cascade. Tor est un réseau multiproxy dans lequel chaque utilisateur devient lui même un proxy (mandataire), plusieurs millions d'Internautes partagent leur adresse IP à travers le monde ! Le message chiffré passe par trois relais au minimum (circuit Tor) et les nœuds sont réinitialisés toutes les 10 minutes de façon pseudo aléatoire. Chaque relais déchiffre l'adresse du précédent et du suivant nécessaires au bon acheminement.

La navigation requiert un navigateur spécifique (Tor, Freenet, GNUnet) pour accéder aux sites .onion (hidden wiki liste les URL non indexées par thèmes). Le browser (navigateur ou butineur) Tor (open source codé en « C », Python et Rust) est téléchargeable sur Tor Project (à mentionner Tor bootable sur clé USB, aucune trace sur le PC) et des mises à jour sont proposées afin de contrer les failles découvertes. Le navigateur ne conserve aucun journal (log) ni ne sauvegarde les données. Le navigateur installé, faire un saut sur whatismyip.com afin de s'assurer que l'adresse IP qui s'affiche est bien différente de celle d'origine... Il faut aussi un moteur de recherche, le choix ne manque pas : TorSearch - Grams - City - Evil, on en compte une vingtaine. Certains sont accessibles directement depuis Chrome, Firefox, Safari, exemple ahmia.fi, si l'adresse IP n'est pas dissimulée, cela permet cependant de se faire une petite idée du contenu du Dark Web sans installer Tor. (Onion over VPN permet de se connecter à Tor sans son navigateur dédié)

Le nœud de sortie (Exit Node) qui se connecte au service demandé supprime la dernière couche de chiffrement, si la connexion n'est pas établie avec un site HTTPS (cadenas vert fermé, SSL), il peut espionner l'activité... Tor utilise par défaut le service HTTPS Everywhere qui sélectionne la version la plus sécurisée disponible sur le site, mais toujours vérifier l'URL du site consulté pour s'en assurer (bouton de la barre bleue ou verte). N’importe qui peut mettre en place un « Exit Node » (aucun organisme de certification), plus il y a de nœuds sortants, plus le réseau Tor dispose de bande passante.

Des pirates n'ont pas tardé à mettre en place leur propre « Tor Exit Node » pour intercepter le trafic sortant (« hidden-service ») et infecter des exécutables Windows et des fichiers Torrent en y ajoutant une porte dérobée. MiniDuke découvert par Kaspersky est un programme malveillant qui a été utilisé pour espionner des organisations gouvernementales européennes. Selon F-Secure, le nœud sortant de Tor était hébergé en Russie... D'où l'intérêt de doubler la navigation avec un chiffrement de bout en bout, l'exit node ne pourra en analyser le trafic ni y placer une ligne de code ; certains hébergeurs n'autorisent pas la présence de nœuds Tor sur leur réseau et scannent les IP connectées afin de s'assurer qu'elle ne sont pas utilisées comme proxy…

Le navigateur Tor bloque par défaut les plugins javascript (No script) : Flash, RealPlayer, Youtube, QuickTime, etc., qui peuvent être corrompus et révéler l'adresse IP. Le niveau de sécurité reste adaptable (il suffit de cliquer sur le petit oignon vert). Par prudence, ne jamais installer de plugin ou add-on supplémentaire ni logiciel non indispensables dans le navigateur Tor. Prendre pour habitude de changer d'« identité » après chaque surf : ctrl+shift+U. Cela vaut aussi pour les autres navigateurs (pages consultées lors de la session).

Ne jamais ouvrir de documents téléchargés via Tor en ligne, toujours se défier des pièces jointes aux e-mails... Les fichiers annexés peuvent contenir des éléments qui nécessitent d'être téléchargés sur Internet en dehors de Tor ! Si on double-clique, le navigateur Tor Browser alerte sur le risque encouru, il est préférable de télécharger la pièce jointe et de l'ouvrir en mode « hors connexion » (déconnecté d'Internet), soit utiliser VirtualBox en machine virtuelle avec le réseau désactivé, ou d'utiliser Tails (The Amnesic Incognito Live System). Tor Browser Bundle est pré-configuré pour protéger son utilisateur à condition de toujours passer par le navigateur Tor lui-même et aucun autre.

Entre Tor ou Torrent il faut choisir ! certainement pas les deux en même temps. Si l'on souhaite télécharger des fichiers Torrent, ne jamais le faire quand on utilise Tor ! Même si vous indiquez à : µTorrent - Vuze - Transmission - Deluge ou celui de votre box Internet d'utiliser Tor, votre demande sera la plupart du temps ignorée et votre session connectée directement au site et votre surf via le navigateur Tor ne sera plus privé ! Les deux sont incompatibles. Quand bien même l'application Torrent se connecterait via Tor, elle mouchardera l'adresse IP (requête GET tracker) ! Il est possible de réduire les risques en configurant Tor de façon à utiliser une passerelle Tor au lieu de se connecter directement au réseau public. Pour les « bidouilleurs », un Raspberry PI permet la création d'un point d’accès « Onion Pi » avec n'importe quel objet connecté : https://www.numerama.com/tech/161911-faire-routeur-wifi-connecte-reseau-tor-raspberry-pi.html.

L'anonymat en P2P ou assimilé reste problématique sauf à choisir et paramétrer un Virtual Private Network (tunneling) correctement. Un VPN assure la transmission chiffrée des données de bout-en-bout entre deux machines et bloque les connections entrantes non autorisées. Il y a deux façons d'utiliser un VPN : Tor sur VPN, tout le trafic passe d’abord par Tor avant d'être redirigé vers le VPN, l'adresse IP est modifiée dès le nœud d'entrée, mais la vulnérabilité en sortie reste possible. VPN sur Tor chiffre la connexion de bout en bout (trafic centralisé) mais comment être certain que le fournisseur du VPN n'analyse pas le trafic ni qu'il n'enregistre l'adresse IP ou DNS ?

Quel VPN choisir ? posez-vous les bonnes questions : que/qui s'agit-il de protéger et contre qui/quoi - est-il adapté à l'OS (Windows, Mac, Android, Linux) - « no-log » - le chiffrement proposé AES, 3DES (256 bits), clés DHE-RSA (4.096 bits), authentification SHA512) - quel protocole (PPTP, SSTP, L2TP, IKEv2, Stealth) - localisation du fournisseur - adresse IP dédiée ou mutualisée - combien de serveurs - pays couverts - filtres d'application proposés - reconnexion automatique - antivirus dédié - mises à jour régulière - mode de paiement (cryptomonnaie) - VPN intégré au navigateur, installé sur l'ordinateur, sur la box, ou intercalé entre le routeur (pass-trough) et le réseau domestique. Attention, des FAI ne permettent pas l'installation d'un VPN entre le réseau privé et leur box en pass through (vérifier s'il est possible de basculer en bridge)... Un saut sur le Dark net permet de s'assurer que la clé pour le VPN retenu n'y est pas proposée contre quelques centièmes de bitcoin...

VPN gratuit ou payant (abonnement environ 5 $/mois et/ou boitier 60 $) ? Jugez-en, ce dernier enregistre : adresse e-mail du compte - nom d'utilisateur - clé de la licence - échéance de l'abonnement (quelques euros/mois) - horodatage des connexions - sous-réseau IP d'origine - adresse IP du serveur utilisé - quantité de données transmises - système d'exploitation - numéro téléphone en cas d'appel de la hotline - les cookies (clic sur une proposition) - stabilité - partage d'informations avec un antivirus (connu pour sa gratuité) appartenant au même groupe... La plupart des métadonnées sont conservées 30 jours, d'autres (techniques, la désinstallation) deux ans ! Nombre de VPN gratuits font de même et utilisent la connexion de l'hôte afin de redistribuer de la bande passante aux clients « premium » ! Rien n'est gratuit, Internet génère des profits qui sont à l'origine d'une lutte féroce entre les acteurs économiques, tout visiteur est un client, et les États (affaire Huawei, Cisco). Ceux qui espèrent avoir le beurre, l'argent du beurre et le c.. de la crémière devront revoir leurs desiderata et privilégier une configuration exotique...

Le firewall de la RPC bloque plus d'une centaine de VPN et détecte les serveurs Layer2 Tunneling Protocol sur serveurs Internet Protocol Security avec double encapsulation (port 1701 pour configuration et 500 pour l'échange de clés). Pour berner la Grande muraille électronique chinoise, combien de temps..., il faut une couche d'« enfumage ». L'analyse Deep Packet Inspection se déroule automatiquement au niveau des Dslam chargés de redistribuer Internet. Tor qui fut bloqué en Iran eut l'idée de modifier l'apparence du trafic : HTPPS, SSL, VPN, Facebook, etc., et le parer d'un aspect plus quelconque (obfsproxy) réussissant à déjouer la censure...

Le 18 janvier, le président « essayez la dictature ! » s'est prononcé devant les maires réunis à Souillac (Lot) en faveur de la suppression de l'incognito avec la : « levée progressive de tout anonymat ». Les FAI, FSI et l'État étant incapables de garantir la sûreté d'Internet, la protection des données et de protéger le citoyen contre la fraude à la CB, les pirates, les spammeurs, etc., l'heure de se peaufiner une nouvelle identité ou « doublette » numérique va-t-elle devenir une nécessité ? Des idées, des commentaires ? merci pour le retour et le partage.

°°°°°°°°°°°°°°°°°°°°