Motherboard

Rencontre avec le hacker qui traque les pédophiles du dark web

Einar Otto Stangvik nous a parlé de pédopornographie, d'outils de hacking faits maison et d'opérations de police à l'éthique discutable.

par Daniel Mützel
09 Novembre 2017, 8:39am

Einar Otto Stangvik. Photo : Private

En octobre dernier, le pirate norvégien Einar Otto Stangvik a découvert le plus grand portail pédopornographique du dark web, un forum baptisé Childs Play. Un fait d'armes décroché à force de patience, de créativité et d'astuce technique.

Et puis, en janvier dernier, Stangvik et ses collègues du tabloïd VG ont compris que ce site, fréquenté par plus d'un million d'internautes, était administré par la police australienne.

Pendant onze mois, les enquêteurs d'une équipe spéciale ont surveillé le site de l'intérieur et récolté des informations sur les coupables, les victimes, les utilisateurs. Childs Play a été désactivé il y a quelques semaines seulement.

Ce n'était pas la première fois que Stangvik, un ancien expert en cyber-sécurité employé par de nombreuses entreprises norvégiennes, creusait dans le dark web pour traquer les producteurs et consommateurs de pédopornographie. En 2015, il avait déjà utilisé un programme qu'il avait développé lui-même pour identifier 95 000 internautes coupables de téléchargement d'images et vidéos illégales.

Nous avons rencontré Stangvik pour lui poser toutes les questions qui nous trottaient dans la tête : comment traquer les pédophiles sur le dark web ? Les profondeurs du réseau sont elles vraiment pires que l'Internet "de surface" en terme de pédopornographie ? Laisser la police administrer un site criminel pendant onze mois, est-ce bien réglo ?

Le hacker Einar Otto Stangvik. Photo : Private

MOTHERBOARD : Vous êtes parvenu à révéler l'existence d'une énorme plate-forme pédopornographique sur le dark web. Comment avez-vous fait ?
Einar Otto Stangvik :
Nous avons passé un mois à réfléchir à un moyen d'attaquer le site. Nous ne voulions pas nous contenter des patrons de Childs Play, nous voulions démasquer tous ses utilisateurs : les producteurs de vidéos, par exemple, et les gens qui commettent des abus sexuels. Ensuite, j'ai téléchargé tout le texte disponible sur la plateforme pour l'analyser, mais ça n'a rien donné. À la fin de l'année 2016, nous avons dû mettre notre travail en pause. Nous n'avions trouvé aucun moyen de hacker le site.

Comment les choses ont-elles évolué après ça ?
C'est arrivé au début du mois de janvier dernier. Je suis arrivé au boulot et j'ai compris que je devais essayer une approche complètement différente. Du coup, j'ai passé la journée à barboter dans le code source de MyBB, le logiciel sur lequel repose Childs Play. C'est à ce moment-là que je suis tombé sur la fonctionnalité qui permet d'uploader une photo de profil sur le forum. J'ai été abasourdi en découvrant que Tor ne la protégeait pas.

Pourquoi cette découverte vous a-t-elle surpris à ce point ?
Parce que ça m'a permis d'utiliser une technique que tout le monde connaît. Pour cracker le logiciel d'un site, vous devez trouver un moyen d'y uploader vos propres fichiers ou d'y injecter votre code. En gros, vous devez forcer le serveur à se connecter au monde extérieur, c'est-à-dire à dévoiler ses points faibles. La plupart des logiciels ne permettent pas ça, parce qu'attaquer en serveur en passant par les fichiers locaux est considéré comme une technique de base. Je m'attendais à ce qu'un site du dark web, surtout un site qui diffuse du contenu illégal, ait bloqué tout possibilité de connexion externe. Ou au moins qu'il utilise Tor pour ce genre de connexion.

Uploader une image était donc la méthode bateau par excellence, mais ça a marché ?
J'ai eu du mal à le croire. J'aurais juré qu'il n'y avait pas de méthode plus débile pour forcer un serveur à révéler son adresse IP. J'ai quand même essayé. À ma grande surprise, j'ai reçu une IP.

Vous avez découvert ce point faible en janvier 2017. À ce moment-là, la police gérait le serveur depuis trois mois. L'erreur était-elle d'origine ou avait-elle été introduite par ces nouveaux administrateurs ?
Difficile à dire. Quand j'ai trouvé cette faille, je n'avais pas la moindre idée que la police administrait le site. Je dois dire que j'ai été surprise, mais pas tant que ça. Des erreurs de ce genre se produisent tout le temps.

En réalité, j'ai utilisé cette méthode pour débusquer deux autres sites pédopornographiques du dark web. L'un d'entre eux était Elysium, sur lequel la police allemande s'est lancée en juin dernier. J'ai découvert leur adresse IP à peu près au même moment que celle de Childs Play.

Est-ce que vous les avez communiquées aux autorités ?
Non. Une semaine après, j'ai vu que quelqu'un que je connaissais pas avait posté l'adresse IP d'Elysium sur Twitter.

Le forum Childs Play se procure un fichier depuis un site externe et, ce faisant, dévoile son adresse IP. Image : Mathias Jørgensen/VG

Revenons-en à Childs Play. Comment avez-vous procédé ? Les adresses IP peuvent être trompeuses sur le dark web, les sites font tout leur possible pour dissimuler leur lieu d'hébergement.
En effet. Peu de temps après, je me suis rendu compte que l'adresse IP de Childs Play correspondait à un serveur détenu par Digital Pacific, une entreprise basée à Sidney. J'ai tenté trois méthodes pour savoir si j'avais obtenu une adresse IP réelle et pas seulement un noeud de sortie Tor, un VPN ou un serveur proxy.

Vous venez d'égrainer les trois manières principales de cacher son adresse IP pour parcourir le web en tout anonymat : le réseau Tor, qui entraîne les communication dans un maillage de noeuds, un réseau virtuel privé (virtual private network, VPN), qui dissimule la véritable adresse IP dans un réseau virtuel, et un serveur proxy, qui sert de point d'intersection supplémentaire entre deux serveurs.
Tout à fait. Je devais m'assurer qu'aucune de ces méthodes n'avait été utilisée. Pour le premier test, j'ai loué mon propre serveur chez Digital Pacific. Ensuite, j'ai mesuré le temps qu'il fallait à mon serveur pour se connecter au serveur de Childs Play via Digital Pacific. Charger un site en passant par le réseau Tor prend au moins 250 millièmes de seconde. C'est le temps nécessaire pour que votre requête atteigne le serveur et que celui-ci affiche le contenu du site dans votre navigateur. C'est long, parce que le trafic qui passe par le réseau Tor doit traverser plusieurs noeuds pour dissimuler l'identité de l'émetteur et du récepteur. Le temps de connexion que j'ai mesuré entre mon serveur et celui de Childs Play était inférieur à ça, ce qui signifiait que les deux machines étaient proches l'une de l'autre. C'est ce qui m'a permis de conclure que l'adresse IP que j'avais obtenue n'était pas un noeud Tor.

Et pour la deuxième méthode ?
Là, j'ai dû vérifier que l'IP n'appartenait pas à un proxy ou un VPN, ou si le serveur en question n'était pas juste sous-loué à quelqu'un d'autre. Pour ça, j'ai analysé les valeurs TTL ("Time To Live", ndlr), c'est-à-dire le nombre d'étapes que traverse un paquet de données avant d'arriver à destination. Dans ce cas, mes mesures ont révélé que les données passaient tout au plus par deux étapes avant d'arriver à destination, ou même qu'elles passaient directement d'un serveur à l'autre.

Ceci dit, c'est la troisième et dernière étape qui a été la plus révélatrice. Le but était d'analyser la taille des paquets de données. J'ai constaté que le serveur de Childs Play divisait les plus gros paquets en petits fragments, ce qui indique bien que j'avais à faire à unne connexion locale et pas à un VPN ou un proxy. Dès lors, j'ai su que j'avais la vraie adresse IP du site dans les mains.

Certains individus pensent que le dark web est un havre de paix pour pédocriminels. Vous avez passé des années à étudier ce microcosme, tant sur le dark web que sur le réseau surfacique. Quel est votre avis sur la question ?
Le dark net en général et Tor en particulier offrent en effet un bon point de rendez-vous pour ces gens. Là, ils sont 10 ou 100 fois mieux cachés que sur l'Internet normal. Tout ce qu'ils ont à faire, c'est télécharger le navigateur Tor. Par contre, le matériel pédopornogrpahique et ceux qui le produisent en planifiant des abus ne sont pas endémiques du dark web. Ils sont là sur l'Internet normal, en masse. Et même là, la police a du mal à les attraper. Mes précédents travaux sur les personnes qui téléchargent des images pédophiles ont révélé que la demande est énorme sur le réseau classique.

Où trouve-t-on ce genre de contenus sur l'Internet "normal" ?
Partout. C'est ça le plus triste. Sur YouTube, Pastebin, dans des groupes Facebook, dans des discussions sur Reddit, sur Twitter. Tout ça est à une requête Google de vous. En faisant mes recherches, j'ai découvert que la plupart des consommateurs d'images pédopornographiques utilisaient des moteurs de recherche pour trouver leur matériel. Ça s'applique au moins à ceux qui se "contentent" d'être consommateurs, c'est-à-dire qui ne produisent ou ne distribuent pas. Malheureusement, ces gens échappent souvent aux radars des enquêteurs. Ils sont juste trop nombreux. À chaque instant, des dizaines de milliers d'entre eux écument le web à la recherche d'images illégales. Il est peu probable qu'ils se fassent attraper à cause d'un simple téléchargement.

Si l'Internet normal est relativement sûr pour eux, pourquoi ces gens prennent-ils la peine de se rendre sur des sites comme Childs Play ou Elysium ?
À cause de l'offre. Les forums du dark web agrègent beaucoup plus de contenu en un point précis. Ils sont aussi plus structurés, plus faciles à naviguer. Il y a tout de même une différence en terme de sécurité quand on passe du clear au dark web : quand un internaute sans formation en sécurité opérationnelle se rend sur le dark web, il pénètre automatiquement dans un cercle qui a de bonnes chances d'être surveillé par la police. En d'autre termes, il quitte un endroit relativement sûr pour un endroit sur écoute et peut-être même déjà infiltré.

Tor pourrait donc être considéré comme un accessoire pour criminels, mais aussi comme un outil d'enquête idéal ?
On pourrait tout à fait dire ça. Par contre, comme je l'ai déjà dit, cela ne s'applique qu'aux gens qui n'ont presque aucun skill informatique, comme ceux qui utilisent leurs vieilles adresses mail ou pseudo pour créer des comptes sur des sites du dark web.

Ceux qui sont plus au fait des bonnes pratiques de protection profitent plus de Tor, mais même eux finissent dans le viseur de la police. La plupart des gens finissent par faire une erreur d'inattention qui aboutit à leur identification. C'est pour cette raison que les anciens administrateurs de Childs Play sont actuellement derrière les barreaux. Tous ces sites sont condamnés à disparaître à l'instant de leur conception. Ce n'est qu'une question de temps, quelqu'un finira par découvrir une nouvelle technique d'investigation ou une faille qui fera tomber la forteresse, aussi solide soit-elle. Et voilà, c'est tout, vous êtes cuit.

Comment avez-vous réagi quand vous avez découvert que la police australienne administrait Childs Play ?
J'ai eu de mal à accepter que ça puisse être vrai. Surtout quand j'ai découvert que la police elle-même avait distribué du matériel pédopornographique pour protéger leur couverture. D'un point de vue technique, par contre, je sais qu'il n'y a pas vraiment d'autre moyen d'effectuer une enquête efficace dans ce genre de domaine.

La police a géré le site pendant onze mois. Ils répondent aux critiques en affirmant qu'ils avaient besoin de temps pour traquer les perpétrateurs. En 2015, vous avez utilisé une autre méthode pour démasquer des dizaines de milliers d'internautes qui avaient téléchargé ce genre d'images. Que pensez-vous de la durée de l'enquête ?
Tout dépend du nombre de criminels qu'ils ont pu mettre derrière les barreaux grâce à leur travail. Si c'est dix, je dirais que l'opération a été un échec. Personne ne peut oublier que tout ceci a fait beaucoup de dégâts : des images ont été partagées, de nouvelles productions ont été diffusées, des criminels ont planifié des viols d'enfants.

Et si la police a attrapé 100 ou 200 personnes ?
Ce serait un résultat formidable. Elle pourrait aussi se retrouver avec un bilan médiocre, quelque part entre 10 et 100 arrestation, et prétendre qu'ils ont eu raison d'utiliser leur méthode, que cela leur a permis de peaufiner leurs techniques d'enquête, que leur prochaine opération sera plus efficace. Il est très difficile de faire le procès d'une telle enquête en quelques mots.

Nous ne saurons jamais si la police avait assez d'information pour justifier des arrestations ou des poursuites après cinq mois ou même deux semaines. Nous aurions besoin d'une enquête menée par une organisation indépendante et, dans l'idéal, internationale.

Je ne dis pas ça pour critiquer la police. Ce genre d'évaluation pourrait lui permettre de valider, voire d'améliorer ses méthodes. Par contre, je crains que ça n'arrive jamais. La police n'aime pas révéler son jeu.