Tor et le Dark Web

par | Nov 30, 2021 | Cybersécurité et télétravail, Filtrage web, Malwares, Phishing, Ransomware, Sécurité des données, Sécurité réseau, Sécurité Web

Il se passe de nombreuses choses dans le Dark Web aujourd’hui, entre la propagation des logiciels malveillants par les cybercriminels, le piratage de données informatiques et le vol de coordonnées bancaires.

Le Dark Web est un réseau crypté connectant les serveurs Tor et leurs utilisateurs, totalement séparé du réseau internet mondial connu comme le « World Wide Web ». Le nom de « Tor » est l’acronyme de « The Onion Router » (le « routage en oignon ») ; il permet à ses utilisateurs de naviguer sur internet, de chatter, d’envoyer des messages instantanés de manière anonyme. Il n’est pas intrinsèquement néfaste. Voici comment les développeurs de Tor considèrent leur création, sur la page https://www.torproject.org/ : « Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous protéger de l’analyse du trafic, une forme de surveillance réseau qui menace la liberté et la vie privée des internautes, les activités commerciales confidentielles, les relations et la sécurité nationale. »

On a enregistré une hausse de 24% des sites « onions » sur le Dark Web entre 2014 et 2015, d’après une recherche Flashpoint. L’utilisation de Tor a encore augmenté l’année dernière depuis la divulgation au public du programme de surveillance de la NSA.

Un peu d’histoire

C’est globalement une image négative que renvoie le Dark Web : en mars, une étude du CIGI a révélé que sept personnes sur dix voudraient que le Dark Web n’existe plus. La plupart des gens ont entendu parler de ce phénomène pour la première fois en 2013 quand le FBI a démantelé la « Route de la Soie » (ou « Silk Road »), le plus grand marché noir alors en ligne trafiquant des armes et de la drogue. Mais le Dark Web n’était pas à l’origine le quartier général des criminels : Tor a en effet été développé dans les années 1990 par des ingénieurs en informatique en partenariat avec des agences gouvernementales. En 2006, le Projet Tor fut créé en tant qu’organisation à but non lucratif afin de servir tout public.

On peut avoir de nombreuses raisons de souhaiter rester anonyme sur internet en utilisant Tor :

Dans quelques pays qui bloquent certains sites web, Tor offre un moyen d’y accéder. Par exemple, en septembre 2015, en Chine, plus de 3000 sites internet étaient inaccessibles. Cela incluait la plupart des offres Google, Facebook, YouTube, Twitter et Instagram. L’anonymat est essentiel quand il s’agit de communiquer des informations confidentielles ou de dénoncer certaines choses. Aujourd’hui, de nouvelles plateformes comme The Guardian, The Intercept et The New Yorker possèdent tous des sites localisés dans le Dark Web où circulent des éléments ayant fuité. Bien sûr, WikiLeaks en fait autant. Tor et le Dark Web ont été utilisés pour la mobilisation du printemps arabe. Certaines personnes utilisent Tor pour garder leurs sites internet à l’abri de la traçabilité publicitaire.

Comment fonctionne Tor ?

Tor n’est pas le seul système capable d’accéder au Dark Web ; c’est seulement le plus populaire. Les autres intègrent Freenet ou le Invisible Internet Project (I2P). Voici comment Tor fonctionne : il achemine le trafic du réseau de l’utilisateur et le remanie à travers une série de relais jusqu’à lui faire atteindre sa destination. Chaque nœud (ou routage « onion ») connaît l’élément qui le précède et qui le suit dans le cheminement, mais aucun autre dans le circuit. Le trafic parcourant le circuit est envoyé par paquets de taille identique, décodés par une clef symétrique à chaque nœud (comme les différentes couches d’un oignon) et relayés au rang inférieur. The procédé entraîne l’anonymat de la location de l’utilisateur et complexifie le suivi de son activité.

Le cryptage Tor est généré par les serveurs Tor, pas votre ordinateur. Le trafic entre deux nœuds Tor n’est pas traçable, mais celui passant par une porte Tor pour entrer ou sortir de l’internet « normal » l’est, lui, à moins que le cryptage SSL ne soit activé. Tor n’est pas un système de chiffrement de bout en bout ; si la communication n’est pas cryptée en utilisant un logiciel spécifique avant de rejoindre le réseau Tor, il sera lisible par tout le monde au moment de la connexion. Comme on suspecte la NSA d’administrer une grande partie des portails Tor accessibles par le public, il y a fort à parier que tout type de trafic non crypté est également surveillé par la NSA.

De nombreux utilisateurs accèdent à Tor via un VPN. Voici pourquoi :

  • Un VPN vous permet de falsifier votre position géographique.
  • Comme nous l’avons déjà mentionné, n’importe qui utilisant Tor peut lire une communication non cryptée passant par ce portail.
  • Un VPN protège la vie privée.
  • Certains fournisseurs d’accès internet bloquent Tor ; ils ne détectent toutefois pas l’accès à Tor par le biais d’un VPN.
  • La porte d’accès à Tor relèvera l’adresse IP du serveur VPN, pas la véritable adresse IP de l’utilisateur.

Mais les portes de sorties Tor sont souvent bloquées. De plus, un VPN ne fournit aucune protection contre un éventuel programme malveillant à la sortie de Tor. Plutôt que d’utiliser un VPN, quelques utilisateurs Tor utilisent un pont de sortie comme Obfsproxy ; cela peut s’avérer efficace pour bloquer l’utilisation de Tor si l’inspection profonde de paquets n’est pas configurée pour le détecter.

À quoi ressemble le Dark Web ?

La première chose à remarquer à propos de Tor est la lenteur de son navigateur ; il est encore plus lent s’il est couplé à l’utilisation d’un VPN. L’URL semble bizarre : voyez par exemple l’adresse http://wlupld3ptjvsgwqw.onion (le site du Dark Web pour Wikileaks). Des protocoles différents des standards HTTP et HTTPS sont légion, avec pour les plus courants IRC, IRCS, Gopher, XMPP, et FTP. Une longue enquête menée par TrendMicro a révélé que 41% des URLs sont russes, contre 40% d’URLs anglaises.

Trouver ce que vous recherchez s’apparente à un défi car de nombreux sites apparaissent et disparaissent en l’espace de quelques jours. Ce n’est pas dû à un manque de moteurs de recherche : le plus commun, Grams, ressemble à Google. Comme il y a de nombreux liens vers des pages web frauduleuses, quelques utilisateurs comptent sur les liens en .onion de Tor pour s’y retrouver. Une alternative consiste en un moteur de recherche qui relaie le service puis le lien onion de Tor et le rend transformé et compatible avec un navigateur standard WWW.

Le Dark Web a des sites similaires disponibles sur l’internet « normal » : Deep Web Radio est une station radio musicale mondiale. Il y a des services d’hébergement dédiés, des services mails et des chats anonymes ; il y a même des clones de Twitter. Bien sûr, il y a des blogs et des forums. En janvier 2016, ProPublica a lancé le premier grand site d’informations sur le Dark Web.

Des lanceurs d’alerte, des défenseurs des droits de l’Homme, des journalistes, des militaires et les forces de l’ordre sont tous présents sur le Dark Web. De même, des victimes de violences domestiques l’utilisent pour communiquer en dehors de la surveillance de leurs agresseurs.

La description du Dark Web ne serait pas complète sans la mention des sites en .BIT impliquant le Bitcoin, les marchés d’informations et d’objets volés, ainsi que tout le nécessaire des pirates informatiques. Daniel Moore et Thomas Rid rapportent dans leur livre, intitulé Cryptopolitik and the Darknet, que 57% des activités du Dark Web sont illégales. On peut légitimement affirmer que le Deep Web est un immense outil de partage d’informations qui facilitent l’activité criminelle. Les crypto-monnaies comme le Bitcoin et les réseaux d’anonymat comme Tor font de l’entrée sur le marché des logiciels malveillants un jeu d’enfant très lucratif rapidement.

La menace du hameçonnage grandit en même temps que le Dark Web

Plus de 90% des cyber-attaques de données commencent par un hameçonnage. La menace que constitue le hameçonnage grandit en même temps que le Dark Web. Le hameçonnage attaque sous différentes formes : l’envoi de logiciels espions, de rançongiciels et autres virus capables de voler de précieuses données qui sont ensuite facilement revendues sur le Dark Web. Le hameçonnage est la plus efficace, la plus répandue et la plus dangereuse des cyber-attaques !

Le DNS a un important rôle à jouer parce qu’il trace l’activité en réseau de toutes les organisations et que 90% des logiciels malveillants l’utilisent pour causer des dommages.

Le DNS fournit à l’organisation une chance d’intercepter le logiciel malveillant avant que celui-ci ne s’insinue dans ses commandes et ne contrôle son infrastructure. La visibilité DNS permet de remarquer les autres éléments indiquant le piratage comme les pics dans le trafic IP et le détournement du DNS.

La capacité à suivre et gérer l’activité DNS est très importante, car elle permet aux organisations de détecter les campagnes de hameçonnage et l’exfiltration de données qui en résulte. Il leur devient aussi possible de réduire le temps que les pirates peuvent passer dans le réseau et de repérer les domaines susceptibles de faire l’objet d’une activité criminelle et de vol de données.

En renforçant votre protection DNS, vous pouvez bannir les sites de hameçonnage une fois pour toutes : cela signifie que même si un employé clique sur un lien hameçon dans un mail, le lien ne fonctionnera pas.

Le filtrage DNS de WebTitan bloque l’accès aux logiciels malveillants, rançongiciels, hameçonnage, virus, sites frauduleux, logiciels espions, etc. Il élimine le mal à la source.

Découvrez comment le filtrage DNS de WebTitan protège votre DNS en temps réel du piratage et de tous les maux qu’il engendre.

Comment protéger les utilisateurs de la fuite des données et des attaques mails avancées

Sans les bons outils de cyber-sécurite, les organisations sont vulnérables aux escroqueries par hameçonnage, qui peuvent leur coûter des millions en recouvrement de désastre et en rançons si elles cèdent au chantage. La seule façon d’éviter cela est d’avoir une solide sécurité email utilisant DMARC et le filtrage de contenu.

SpamTitan inspecte chaque URL listée dans un mail pour détecter si elles sont sur liste noire, avec une couverture de 100% du web, protégeant ainsi vos utilisateurs des liens vers des sites frauduleux. Le sandboxing de SpamTitan contient une protection contre la fuite des données et les attaques mail expertes ; il offre un puissant environnement permettant d’effectuer une analyse en profondeur des programmes et des fichiers douteux.

Les attaques par hameçonnage sont très complexes et de plus en plus nombreuses. L’une des protections les plus efficaces consiste en une solution de sécurité email moderne et robuste comme SpamTitan, qui utilise un arsenal anti-hameçonnage comme le scan antivirus, l’analyse heuristique, l’authentification DMARC et le sandboxing. Peu de fournisseurs proposent une telle gamme en un seul outil.

SpamTitan est une protection email multi-récompensée, anti-hameçonnage et dotée d’un filtrage email. Commencez dès aujourd’hui votre essai gratuit de SpamTitan pour découvrir comment nous vous protègerons des cyber-attaques.

 

Restez avec nous…

Dans un prochain article, nous aborderons la question des ramifications techniques du Dark Web et les mesures qui bloqueront (ou non) l’accès à Tor depuis votre réseau.