Réseaux

Criminalité, Internet et darkweb : y voir un peu plus clair

Idées reçues et fantasmes se bousculent pour imaginer la façon dont s’organise la criminalité en ligne. Or il importe de ne pas confondre darkweb et marché noir, de resituer les places de marché illicites dans le web de surface, etc. Petite visite de l’espace cybercriminel, grâce à l’éclairage d’un responsable de la sécurité opérationnelle du système d’information d’une grande entreprise publique.

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°344

Cybercriminalité : nouvelles menaces et nouvelles réponses

Qu’est-ce réellement que le darkweb ? Même si on les trouve de plus en plus dans la presse, spécialisée comme généraliste, les termes darknet ou darkweb [1] sont assez mal définis. Le darknet est un réseau auquel on accède via Internet, mais qui n’est pas celui que nous connaissons tous : ses sites ne sont pas indexés par les moteurs de recherche, et il n’est pas accessible avec les outils classiques comme les navigateurs. Le darkweb est une partie de l’Internet qui a été conçue pour être cachée, rendant très complexe la possibilité de tracer ce qui s’y déroule et d’identifier où se trouvent ses sites comme ses utilisateurs. Et il faut un outil spécifique pour y accéder. Le dispositif TOR, dont le nom est dérivé du projet « The Onion Router », est le dispositif principal pour assurer cette anonymisation des connexions, et les sites du darkweb se terminent souvent en .onion.

Comme il n’y a pas de moteur de recherche pour accéder au darkweb, l’utilisateur doit connaître l’adresse du site, du forum auquel il veut se connecter, voire de l’utilisateur avec qui il veut échanger en peer-to-peer. Il faut donc connaître des personnes qui connaissent le darkweb ou fréquenter des forums très spécialisés du surfaceweb, le web « normal » de surface. Pour complexifier encore la tâche de qui chercherait à percer qui est derrière une ressource du darkweb, celui qui opère un tel site peut parfois changer l’adresse de son site du jour au lendemain, pour brouiller les pistes, à la façon d’une personne qui déménage sans cesse pour ne pas être repérée. Seuls ceux à qui le « tenancier » aura communiqué la nouvelle adresse par un autre canal pourront se connecter.

Cette volonté d’opacité du darknet alimente bien sûr la réputation sulfureuse de ce réseau, identifié souvent à la face sombre et malfamée du net, où se développent les trafics. Le darkweb n’est cependant pas utilisé que pour des actions illégitimes. Dans certains pays, il peut servir à échapper à la censure ou à la surveillance d’une police politique, grâce à l’échange d’informations au sein de cercles de gens cooptés.

Ne pas confondre darkweb et marché noir

D’aucuns présentent le darkweb comme étant beaucoup plus étendu en volume et en nombre de sites que le web « normal ». Or, puisqu’il n’est pas indexé, il est très difficile de mesurer sa taille. Sa frontière peut également être floue : un site Internet peut avoir une face visible sur le surfaceweb, et une face cachée dans le darkweb. Il n’existe pas aujourd’hui de chiffres sur la proportion de cybercriminels agissant sur le darkweb ou « en surface ». Ce que l’on sait, c’est que plus un commerce frauduleux est risqué, plus il utilisera le darknet.

Pour les petits délinquants, il est certain qu’il n’est pas nécessaire d’aller sur le darkweb pour se livrer à des activités frauduleuses, comme la vente de numéros volés de cartes bancaires. En effet, par construction, il est plus complexe de se rendre dans le darkweb, donc il y a moins de monde et potentiellement moins d’acheteurs. Le commerce « courant » de biens illicites est déjà bien enraciné dans le web de surface. Les cyber-receleurs prennent soin d’opérer leurs sites marchands depuis des pays où le cybercriminel ne risque pas grand-chose et qui ne sont pas réputés pour leur coopération judiciaire en cas d’investigations internationales. Que ce soit sur le surfaceweb ou le darkweb, le cyberdélinquant peut se jouer des frontières, ce qui produit une asymétrie regrettable avec les autorités judiciaires. Reste qu’il ne faut pas confondre darkweb et marché noir, une bonne partie des activités frauduleuses pouvant se dérouler sur le web de surface.

Places de marché structurées

Ceux qui réalisent des attaques informatiques peuvent s’appuyer sur un marché très structuré. Il y a par exemple des gens qui vont découvrir des failles dans des systèmes informatiques et les vendre. Le marché des failles, autrefois gris, devient officiel, avec des tarifs annoncés pour une faille de tel type sur Android, ou encore pour une faille sur iOS (système d’exploitation des iPhones et iPad), tarifs qui peuvent monter à plusieurs dizaines de milliers de dollars, voire centaines de milliers de dollars pour les plus rares.

D’autres personnes vont acheter une faille, construire un outil pour exploiter cette faille pour entrer dans le SI et vendre cet outil d’attaque. Sur un autre marché, on propose à la location, pour une minute, une heure ou une journée, le fait de commander plusieurs dizaines de milliers de PC « zombies » sous contrôle, à qui l’on peut faire faire ce que l’on veut. Nul besoin d’être expert en tout cela, il suffit de « faire son marché » sur un marché noir bien organisé, avec des vendeurs notés comme sur les sites de mise en relation du web de surface, certains proposant des tutoriels, etc.

Les marchandises échangées peuvent avoir un cours. Un numéro de carte bancaire volé a pu passer d’une vingtaine de dollars il y a quelques années à un dollar à peine : beaucoup sont proposées sur le web et les systèmes de sécurité, qui se perfectionnent, complexifient la fraude.

Toutes sortes d’éléments se vendent en ligne : vulnérabilités, minutes de déni de service, droits d’accès, sites web compromis, données confidentielles volées, projets industriels…

Délit d’initiés

Un exemple récent illustre la valeur que peuvent représenter certaines données, et les moyens que peuvent mettre en œuvre des cybercriminels pour les voler. En août 2015, une enquête a été ouverte aux États-Unis pour des délits d’initiés réalisés par des traders principalement américains avec la complicité de hackers pirates basés en Ukraine. Ces derniers volaient à des agences des informations sous embargo, grâce à des postes de travail qu’ils avaient préalablement compromis avec un malware, et transmettaient ensuite ces articles volés avant leur publication officielle aux traders qui exploitaient frauduleusement ces informations. La fraude a été estimée à plus de 100 millions de dollars.

Pour conclure, mentionnons que le bitcoin et d’autres systèmes de paiement, tels que Litecoin, Ukash ou WebMoney, sont désormais utilisés par les cybercriminels en raison de l’anonymat qu’ils assurent, donc particulièrement pour l’achat et la vente de biens illégitimes. Il n’existe toutefois pas de chiffres permettant d’évaluer la proportion de transactions frauduleuses réalisées avec cette crypto-monnaie.

 

[1] A ne pas confondre avec deepweb, c’est-à-dire les ressources non accessibles à un moteur de recherche, car en accès protégé par un mot de passe ou nécessitant qu’un utilisateur fasse une requête.

 

Sommaire du dossier

Nouvelles menaces et nouvelles réponses

Articles du(des) même(s) auteur(s)

Sur le même sujet