Ces cartes vous permettront de mieux vous représenter le dark web

Contrairement à ce que l’on pourrait croire, les services cachés par Tor ne sont pas des entités isolées.
6.7.16
Image: Sarah Jamie Lewis

Ce graphe contient 50% de tous les sites enregistrés. En vert, on distingue les hyperliens entre les sites ; en bleu, les relations entre les clés SSH : les bannières d'identification du service FTP apparaissent en rose, et les fuites d'information sur le statut du serveur, en rouge. Image: Sarah Jamie Lewis

À quoi ressemble vraiment le dark web ? Une nouvelle étude a produit une carte de cet étrange territoire en exploitant les relations formées entre des services dissimulés par Tor. Elle montre que les sites du dark web, loin d'être des entités isolées, sont liés plus intimement que ce que nous pourrions croire.

« Le dark web est en fait organisé en réseau aux mailles intriquées, » explique le dernier rapport d'OnionScan, un outil conçu par la chercheuse en sécurité informatique Sarah Jamie Lewis afin de mettre à jour les vulnérabilités de Tor. OnionScan lui permet de révéler les informations susceptibles de leaker depuis les sites dissimulés par Tor, qui, mal utilisé, peut se comporter comme une véritable passoire.

Publicité

Or, son dernier scan s'est concentré sur le partage de clés SSH, un système d'authentification qui permet de se logger à distance sur un serveur sécurisé afin de mettre à jour les hyperliens entre sites web, le statut du serveur, les bannières d'identification du serveur FTP, et les messages qui apparaissent à qui se connecterait au site.

Après avoir scanné près de 5600 services cachés par Tor au mois de juin, OnionScan a découvert que 23% d'entre eux partageaient une unique clé SSH qui redirigeait vers un unique service d'hébergement : Freedom Hosting II. Neuf clusters de sites (c'est-à-dire 2,5% d'entre eux) sont alors apparus grâce à l'analyse de clé SSH.

Le rapport OnionScan suggère que ces clusters pourraient correspondre à des communautés actives. Image: Sarah Jamie Lewis

Soixante sites partagent une unique bannière d'identification du serveur FTP, qui a permis de remonter vers un autre service d'hébergement. Enfin, l'exposition des pages de statut des serveurs a permis de déduire quels sites étaient administrés par la même personne. OnionScan a trouvé 10 clusters de sites de ce genre.

Une fois toutes ces données traitées et mutualisées, la chercheuse a été en mesure de déterminer que 21 types de configuration d'infrastructures représentaient près d'un quart de tous les services cachés scannés, soit environ 1500 au total. (Il faut préciser qu'il y a une chance que tous les sites concernés par ces failles de sécurité n'aient pas été actifs en juin et soient donc passés à travers les mailles du filet lors du test.)

Publicité

Quoi qu'il en soit, « ce manque de diversité dans l'infrastructure d'hébergement des services pose problème : cela signifie qu'une grande partie des Onion Services sont entre les mains d'un petit nombre de personnes, » ajoute le rapport.

« Lorsque les liens dirigeant vers et émanant d'un service onion sont fermés au reste du web, paradoxalement, les sites se détachent des autres. » Image: Sarah Jamie Lewis

OnionScan a également cherché les hyperliens permettant de relier les sites du dark web les uns aux autres, tout en excluant les catalogues de liens tels que Hidden Wikis ou les listes de services cachés, qui ne pourraient donner aucun résultat probant.

Nous avons même trouvé un cluster composé de 19 nœuds, et qui était constitué de sites redirigeant exclusivement les uns aux autres, explique le rapport. « Lorsque les liens dirigeant vers et émanant d'un service onion sont isolés du reste du web, paradoxalement, ces sites se détachent clairement des autres et il est facile de les identifier. »

« Quand nous examinons les liens entre les différents services onion, nous voyons que la plupart de ces services sont en réalité liés étroitement les uns aux autres, ce qui est un paradoxe en terme de sécurité et de discrétion. » Apparemment, tel le chat qui se dissimule derrière un rideau en laissant dépasser sa queue, le dark web n'est pas aussi bien caché qu'il aimerait l'être.