Les administrateurs du plus grand forum anglophone de TOR1 ont commencé un nouveau projet pour les criminels du Darknet. Le 2 mars, ils ont lancé un nouveau moteur de recherche R. (quelque chose comme Google) qui permet aux utilisateurs de rechercher des marchandises illégales sur de nombreux Darknet Markets en même temps. Par conséquent, les informations illicites seront beaucoup plus faciles à trouver pour tout cybercriminel.
Une brève explication pour les débutants du Darknet : Le Darknet ne ressemble pas au web clair. Vous ne disposez pas d’une page principale comme Google ou Bing qui vous permet de rechercher dans tout l’espace du darknet. Pour atteindre un site Web, vous devez connaître le lien ou l’adresse exacte. Il existe des forums qui peuvent vous guider dans le darknet, mais pour y accéder, vous devez d’abord savoir qu’ils existent. C’est pourquoi on a tenté de créer un véritable moteur de recherche pour faciliter la recherche d’activités illégales. Bien sûr, comparer Google aux moteurs de recherche de R. est une grande simplification. Avec Google, nous pouvons rechercher presque tout le Clearnet alors qu’avec R. search, nous ne pouvons explorer que les marchés du darknet (DNM) dans TOR et même pas tous.
Presque comme Google
L’idée d’un moteur de recherche de marchés du darknet (DNM) où l’on peut parcourir les offres de divers magasins n’est pas nouvelle. Ce qui est unique cette fois-ci, ce sont les personnes qui se trouvent derrière. Il s’agit d’une équipe d’administrateurs et de modérateurs de « D. forum » – le plus grand forum de discussion de la sphère anglophone de TOR, lancé en février 2018 en réponse à la poursuite de l’interdiction des sujets liés au Darknet sur Reddit. D. est devenu l’un des principaux hubs d’information sur TOR. Ainsi, chaque fois que vous cherchez des avis sur le DNM, des vendeurs de DNM spécifiques, de nouvelles méthodes de fraude ou que vous ne savez tout simplement pas où acheter quelque chose, ce forum est le premier endroit où de nombreux utilisateurs du Darknet se rendent. Cela s’applique également à ceux qui recherchent des tutoriels sur la façon de commettre une fraude, de nouveaux services dans le DNM, les derniers événements sur le Darknet ou tout ce qui y est lié, les fraudes, les drogues ou toute autre activité illicite. Sur ce forum, il existe de nombreuses sections, qui traitent clairement d’une activité illicite comme la fraude, le cardage, les ressources sur la fraude, la contrefaçon, les marchés noirs, la fausse carte d’identité, la fausse monnaie, le LSD, la fabrication de drogues, les logiciels malveillants, le piratage, etc.
Chaque grand DNM et chaque type populaire de fraude et de drogue a sa propre section. De même, il existe des sections pour des pays particuliers, des crypto-monnaies et des sites TOR populaires. Seuls les sujets liés à la pédophilie, au pro-terrorisme, aux poisons, aux armes et aux assassinats sont interdits. En dehors de cela, c’est la liberté d’expression totale.
Exemples des sous-forums les plus populaires sur le forum D. Fraude, cardage, piratage sont parmi les plus populaires. Dream Market, Cryptonia et NightMare Market sont des DNM déjà morts.
Les créateurs du forum D. sont déjà l’un des vendeurs les plus influents de la partie anglophone de TOR et ont la réputation. C’est pourquoi l’ouverture de R. search pourrait leur donner un nouveau rôle. Pour souligner le lien entre le forum bien respecté, R. search requiert une connexion à partir du forum D. pour s’inscrire sur R. search. C’est même obligatoire si vous êtes un vendeur de DNM et que vous souhaitez mettre à jour les informations vous concernant dans R. search. Il n’est pas précisé si le moteur de recherche de R. search collecte des informations sur les recherches des utilisateurs et leurs préférences. Comme nous le savons tous, Google utilise l’historique des recherches pour établir le profil des internautes. Et si l’équipe de D. pouvait faire la même chose et établir le profil des utilisateurs intéressés par tel ou tel type de contenu illégal ? Il pourrait y avoir de nombreux outils pour obtenir plus d’informations sur les utilisateurs du Darknet qui souhaitent rester anonymes.
Le look de R. search
R. search a l’air vraiment sympa (en comparaison avec d’autres sites du Darknet) et est convivial. Il dispose de fonctions de filtrage de base, notamment : prix minimum et maximum, pays d’expédition, marchés du Darknet. Au moment de la rédaction de cet article, le moteur de recherche R. a indexé 23,7 mille vendeurs, 61 mille listings (c’est ainsi que nous appelons les offres sur DNM) et 1,3 million d’avis des utilisateurs de DNM. Actuellement, R. search ne contient que 6 DNM actifs, plus des données d’archives sur les DNM qui ont déjà disparu. L’essentiel est de savoir comment les nouveaux DNM sont ajoutés et qui en décide. L’équipe du forum D. veut créer une base de données contenant uniquement des fournisseurs de DNM fiables, sans escrocs. Bien sûr, c’est à eux de décider quels DNM sont suffisamment fiables pour être ajoutés à la base de données et lesquels ne le sont pas. Grâce à cela, le rôle du groupe dans l’infosphère du Darknet devient de plus en plus important.
Site principal du nouveau moteur de recherche R.
Une caractéristique importante : R. search a dans sa base de données également des données archivées de DNM déjà fermés. Les marchés sur le Darknet montent et descendent, et les vendeurs doivent souvent migrer d’un endroit à l’autre. Leurs statistiques de marché n’apparaissent généralement pas dans le nouveau lieu et les acheteurs doivent se fier aux déclarations des vendeurs selon lesquelles ils sont dignes de confiance, fiables, etc. Grâce à R. search, les acheteurs peuvent vérifier la réputation des vendeurs dans les anciens DNM. R. search possède un type de moteur de recherche très intéressant qui permet de trouver les vendeurs par leur empreinte PGP ou leur clé PGP publique2. Grâce à cela, lorsque quelqu’un prétend être M. X et qu’il a obtenu d’excellents scores sur des DNM qui sont déjà morts, on peut vérifier si M. X sur ces DNM morts avait la même clé PGP. La clé PGP est le principal moyen pour les utilisateurs du Darknet de s’authentifier.
*Liste des DNM morts qui ont été ajoutés à la base de données de recherche R.. *
Autres moteurs de recherche dans le Darknet
Comme je l’ai écrit au début, R. search n’est pas le premier moteur de recherche dans TOR. Le premier bien reconnaissable était Grams. Il a fonctionné de 2014 à la fin de 2017. Grams était bien connu et apprécié par la communauté TOR. Le site web était lié au mélangeur de crypto-monnaies Helix, et à cause de cela, son créateur a été accusé de complot de blanchiment d’argent par un tribunal américain le mois dernier.
Voici à quoi ressemblait Grams. Ça vous dit quelque chose ?
En novembre 2019, un nouveau moteur de recherche TOR appelé K. a commencé sa carrière. Son nom et ses fonctionnalités de filtrage sont similaires à Grams. Ses propriétaires ont également lancé leur propre mélangeur de crypto-monnaies, qui rappelle encore plus le modus operandi de Grams. Le principal avantage de K. sur R. search est que K. indexe non seulement les DNM, mais aussi les forums (556 000 messages de 6 forums) dans TOR. K. a également indexé plus d’annonces que R. (66,5 milliers), mais beaucoup moins de vendeurs (2,9 milliers) et de critiques (257 milliers). K. a indexé 7 DNM – 1 de plus que R. search.
*Statistiques, filtres de recherche et actualités sur le site du moteur de recherche K.. Les observateurs perspicaces trouveront des messages destinés au groupe de « personnes » que les escrocs du Darknet détestent le plus. Ce ne sont pas des flics. *
Et si les forces de l’ordre étaient derrière tout ça ?
Cela peut ressembler à une théorie du complot, mais depuis septembre 2019, de nombreux utilisateurs de TOR ont limité leur confiance dans le forum D. et son administrateur principal – HugBunter. Depuis le début de 2019, le forum D. subit des attaques DDoS3 et à cause de cela, le forum D. n’était parfois pas disponible. En septembre, le forum D. a été indisponible pour cause de maintenance pendant plus d’une semaine, lorsque le commutateur deadman de HugBunter a été activé. Un interrupteur d’homme mort est un type de système de sécurité mis en place par chaque individu pour notifier les personnes choisies après une absence inhabituellement longue. Par exemple, dans le passé, Edward Snowden et Wikileaks l’ont utilisé pour s’assurer que certains fichiers seront envoyés à certains e-mails si, pour une raison quelconque, ils ne seront pas en mesure de faire quelque chose (comme se connecter à un portail)4. Dans le cas de HugBunter, il n’a pas communiqué avec qui que ce soit pendant 3 jours, alors que dans le passé il est resté silencieux pendant 1 jour, maximum. Un détail crucial ici est le fait qu’il a disparu en même temps que le forum de D. était en panne et que de nombreuses choses alarmantes se sont produites dans TOR (plus à ce sujet ci-dessous). Selon d’autres administrateurs et modérateurs, c’était le tout premier cas de ce genre. Certains escrocs et portails Internet ont annoncé la mort de D. forum.
HugBunter est revenu et a lancé D. forum le 1er octobre et a déclaré qu’il avait eu quelques problèmes, mais que tout était rentré dans l’ordre et que le forum était revenu avec de nouvelles fonctionnalités. Il a clairement ignoré l’agitation que son changement de Deadman avait provoquée. Il faut souligner que tout cela s’est passé pendant une période difficile pour la société du Darknet et que tous les escrocs avaient de nombreuses raisons de rester vigilants. Début septembre, l’administrateur principal d’un autre forum TOR a disparu. À son retour, il n’avait pas accès à sa propre clé PGP et ne pouvait pas s’autoriser. Le 22 septembre, Berlusconi Market, l’un des plus anciens DNM de langue anglaise à l’époque, a été saisi par les forces de l’ordre italiennes. En novembre, l’administrateur de Samsara Market, un DNM apparu quelques mois auparavant et qui prétendait être le successeur de Dream Market, a disparu. Dream Market était le plus grand DNM jusqu’en mars 2019 et presque personne ne croyait que Samsara était lié à eux. De même, en novembre 2019, Cryptonia Market, DNM considéré comme le plus sûr à utiliser en raison de ses fonctions de sécurité, a cessé de fonctionner pour des raisons inconnues.
À la fin du mois de novembre, l’administrateur du portail très respecté a déclaré qu’il ne faisait plus confiance à l’équipe du forum D. Comme il l’a écrit sur le message suivant : « Beaucoup de gens ici sont des cibles des forces de l’ordre (LE). Mais il est très inhabituel de continuer à faire confiance à une cible connue des forces de l’ordre après une disparition prolongée et non planifiée. Une disparition qui a déclenché un « interrupteur d’homme mort » précédemment annoncé, donnant le contrôle du serveur à un Paris que personne ne connaît ou n’a de raison saine de faire confiance. Puis au moins trois marchés disparaissent, tous à la fin de l’année : La saison de la chasse aux cryptomarchés. » Par la suite, les discussions sur TOR se sont calmées. De nombreux escrocs ne sont toujours pas sûrs de l’équipe de D. forum. L’avenir montrera de quel côté de « la Force » ils se trouvent.
Cible n° 1 à intercepter
Du point de vue des forces de l’ordre, D. forum devrait être la cible n° 1 à intercepter. Actuellement, son rôle de hub principal d’information est bien plus important pour les utilisateurs du Darknet que le rôle de n’importe quel DNM, notamment pour les utilisateurs de faible et moyenne expérience. La durée de vie de chaque DNM est limitée et, en raison de ce caractère commercial, chacun d’entre eux finira par sortir de l’arnaque ou sera saisi par les forces de l’ordre. C’est surtout l’année dernière que la rotation des DNM a augmenté. À l’inverse, D. forum semble plus stable, plus fiable et plus sûr. De plus, le personnel de D. forum ne vend officiellement aucun produit illicite, ce qui en fait une cible moins intéressante pour les forces de l’ordre. Mais ils vendent des publicités aux vendeurs du Darknet, ce qui peut donner lieu à une accusation de blanchiment d’argent. En fait, un cas similaire s’est produit dans l’affaire deepdotweb.com, où les propriétaires du portail ont été accusés de complot de blanchiment d’argent pour de telles publicités.
Règles pour les annonces sur le forum D.. Paiement uniquement en bitcoins.
Pour les forces de l’ordre, intercepter et gérer un tel hub d’information connecté à un moteur de recherche DNM présenterait de nombreux avantages : décider qui est fiable, quelle méthode de fraude fonctionne, surveiller les utilisateurs et leur communication, trouver les escrocs les plus actifs, créer de fausses tendances, diffuser de la désinformation et bien d’autres choses encore. Il n’y a pas de preuves tangibles qu’une telle interception ait eu lieu, mais il est certain que le forum D. et le moteur de recherche R. figurent sur la liste des cibles privilégiées des forces de l’ordre. Jusqu’à ce que de telles preuves apparaissent ou que les forces de l’ordre les saisissent, de plus en plus d’utilisateurs de TOR utiliseront ces services et seront guidés par eux.
Pour voir mon dernier article sur l’état du darknet, veuillez consulter mon article sur « L’instabilité des marchés du darknet en langue anglaise ouvrira-t-elle la porte à Hydra ? » sur about-fraud.com.
-
Le Onion Router (TOR) est un protocole sécurisé et crypté visant à garantir la confidentialité des données et des communications sur le web. Il utilise une série de nœuds en couches pour cacher l’adresse IP, les données en ligne et l’historique de navigation. Développé à l’origine par le gouvernement américain, il est aujourd’hui considéré comme un système dangereux qui est souvent utilisé à des fins illégales ou contraires à l’éthique. Il existe d’autres réseaux cryptés similaires à TOR et ils forment tous ensemble le Darknet.
-
Pretty Good Privacy (PGP) est un programme populaire utilisé pour crypter et décrypter le courrier électronique sur Internet, ainsi que pour authentifier les messages avec des signatures numériques et des fichiers stockés cryptés.
-
L’attaque par déni de service distribué (DDoS) est une tentative de rendre un service en ligne indisponible en le submergeant de trafic provenant de sources multiples. Source : www.digitalattackmap.com/understanding-ddos/
-
Description plus détaillée du commutateur deadman de HugBunter : « HugBunter a acheté un serveur bon marché, un script a été mis en place pour envoyer un email à chaque modérateur de forum D. si aucune connexion n’a été faite sur ce serveur dans un nombre X de jours. Hug a demandé (à un moment où il n’était pas compromis) à son personnel de publier ce message sans faute s’ils recevaient cet email/alerte, c’était leur devoir et Paris (un autre administrateur de forum D.) l’a rempli. Plusieurs systèmes de ce type auraient pu être mis en place, mais le processus est simple : si une mesure n’est pas prise dans un certain laps de temps, l’interrupteur se déclenche. Il n’y a aucun moyen d’activer un interrupteur d’homme mort. Tout est prédéfini avec les variables qu’il y a, la seule façon d’empêcher ledit interrupteur de se déclencher serait de supprimer le système ou de remplir l’exigence fixée pour retarder ou empêcher son déclenchement. »