Deepweb, darkweb, darknet : quelles différences ?


Deepweb, darkweb, darknet… beaucoup de termes pour une même réalité ? Pas vraiment. Pour bien comprendre leurs différences, livrons-nous à une tentative de définition.

Quelles différences entre le deepweb, le darkweb et le darknet ?

Le deepweb d’abord

Le deepweb, ou « web profond », parfois même « web invisible », est souvent défini comme le web accessible mais non indexé par les moteurs de recherche. L’exemple le plus simple est celui d’un site web bancaire. Ce dernier possède une partie publique, référencée par les moteurs de recherche, et une privée, qui concerne les informations bancaires du client et se situe derrière un mécanisme d’authentification. La deuxième est accessible au client mais pas au moteur de recherche.

Les darknets ensuite

Un darknet, puisqu’il en existe plusieurs, est un réseau qui pourrait être qualifié de parallèle et qui ne serait accessible qu’à l’aide d’outils spécifiques. Les plus connus sont Tor, i2p et Freenet, mais il en existe beaucoup d’autres. Ces réseaux sont dits « superposés » car ils reposent sur un autre pour fonctionner, internet en l’occurrence. Pas d’internet, pas de darknet.

Le darkweb enfin

Le darkweb, ou « web clandestin », serait le web non indexé et non accessible par des moyens standard. Le terme « darkweb » est aussi généralement utilisé pour désigner le web criminel au sens large, indépendamment de son indexation ou de son accessibilité. Dans l’imaginaire collectif, le darkweb regroupe donc ces deux définitions, c’est-à-dire à la fois les sites dédiés aux activités criminelles et les sites utilisant le réseau Tor, qu’ils soient dédiés au cybercrime ou non.

Sur les forums cybercriminels, les notions de deepweb et de darkweb sont souvent utilisées l’une pour l’autre indifféremment sans que cela ne pose de problème. Pour décrire la différence entre ces deux concepts, l’image d’un iceberg avec au sommet le web surfacique (le web « classique ») et, sous l’eau, le deepweb puis le darkweb fait référence. Il faut être prudent avec cette illustration car elle est imparfaite : elle suppose une forme de hiérarchie ou de gradation entre les concepts qui ne correspond pas à la réalité. De nombreux experts considèrent d’ailleurs que le darkweb en tant que tel n’existe pas et qu’il ne s’agit en fait que d’une fraction du web. Il n’y a donc pas lieu de le traiter différemment.

Un réseau pas si inaccessible

Qu’il s’agisse du darkweb, du darknet ou du deepweb, ces réseaux sont tous réputés pour leur difficulté d’accès. Celle-ci est à relativiser : il existe des solutions techniques comme les passerelles (onion.link, onion.cab ou encore onion.to par exemple) qui permettent d’y accéder sans modification du navigateur. Grâce à elles, Google indexe des sites qui ne devraient être accessibles que par Tor. Il faut savoir qu’elles sont également utilisées par des programmes malveillants pour communiquer avec leur serveur de Command and Control (un serveur centralisé qui envoie des commandes et qui reçoit en retour des informations des postes compromis) sans avoir à modifier la configuration du navigateur de la victime.

Par ailleurs, il convient de rappeler que le darkweb n’a pas l’exclusivité du cybercrime : les cybercriminels n’ont bien évidemment pas attendu l’arrivée de Tor pour se livrer à leurs activités. En fonction de leurs spécialités, ces derniers peuvent même utiliser des plateformes tout à fait ouvertes et grand-public comme des groupes Facebook ou des comptes Twitter. Ces réseaux sociaux ferment d’ailleurs régulièrement des groupes destinés aux cybercriminels.

Autre remarque, le darkweb n’est pas que dark. L’usage de Tor n’est pas réservé aux cybercriminels et il existe de nombreux usages tout à fait légitimes de ce réseau. Que ce soit pour échapper à la censure ou pour aider les lanceurs d’alerte, le réseau Tor offre de nombreuses possibilités. Celui-ci n’est donc pas intrinsèquement malveillant, il s’agit en réalité d’un outil. Seule la manière dont il va être utilisé peut être malveillante. Le réseau social Facebook dispose par exemple d’une version officielle en .onion.

Focus sur : le réseau Tor

Les raisons du succès

Tor est le réseau du darkweb le plus intéressant à étudier, et ce pour deux raisons principales :

  • Il est facile d’accès : l’installation du navigateur est particulièrement simple et il n’y a pas de difficulté technique majeure pour qui voudrait l’utiliser.
  • Il est très populaire : on trouve sur ce réseau de très nombreux blogs, forums et beaucoup de places de marché, parfois exclusifs au réseau Tor. D’autres services, disponibles sur le clearweb, ont créé des équivalents sur le réseau Tor pour augmenter leur visibilité. L’offre de services cybercriminels y est donc très variée, mais est aussi de qualité très inégale.

Un panorama d’offres criminelles

L’écosystème des cybercriminels utilisant le réseau Tor est marqué par une grande volatilité et par une forte capacité d’adaptation. Si de nombreuses offres cybercriminelles ne sont pas propres à Tor, certains services ne se trouvent que sur ce réseau.

Les places de marché généralistes offrent un panel très large de prestations des plus classiques, comme la vente de données de cartes bancaires, aux plus originales, comme des matériels permettant la réalisation de vrais faux documents. Certains de ces sites proposent d’ailleurs une prévisualisation du document avant l’achat, signe que ces services se sont professionnalisés en capitalisant sur les retours de leurs clients pour proposer des prestations de meilleure qualité.

Par ailleurs, en plus des places de marché et des forums conventionnels, le réseau Tor abrite de nombreux sites dédiés à une offre unique comme par exemple la vente d’un malware spécialisé, la mise à disposition d’un botnet ou encore d’un rançongiciel avec l’infrastructure associée.

Certains sites proposent également des services comme des multiplicateurs de Bitcoin par exemple, qui peuvent paraître intéressants aux cybercriminels débutants mais qui sont systématiquement des arnaques. Le fait d’arnaquer les nouveaux arrivants sur Tor est d’ailleurs un business model largement répandu : certains acteurs sont en effet connus pour monter des forums ou des places de marché à la chaîne avant de les fermer brutalement et de partir avec les fonds déposés par les utilisateurs.

Le phishing est également une menace très répandue sur Tor car les adresses des sites en « .onion » sont difficilement mémorisables : de nombreux escrocs en profitent pour usurper les adresses des sites les plus connus et voler les identifiants de connexion des utilisateurs.

Une surveillance fine de Tor permet d’avoir un état de l’art des techniques de fraude pouvant affecter certains services comme les plateformes de commerce en ligne ou les crédits à la consommation. Sur ce point, il ressort que les techniques de fraude documentées sur les sections publiques des forums sont globalement d’un niveau faible à moyen ; certaines sont quant à elles plus originales et potentiellement plus dommageables, notamment quand elles combinent fraude documentaire, ingénierie sociale et complicité interne. Les fraudes les plus complexes peuvent imposer aux criminels d’obtenir des connaissances très fines sur les entreprises qu’ils visent : dès lors, il existe également des sites qui proposent d’acheter des renseignements ou des informations confidentielles sur un pays ou un type d’entreprise.

Tor : quelles sécurités et règlementations ?

Une chose à garder en tête : il demeure très difficile de réglementer Tor. Si les forces de l’ordre parviennent à fermer des forums ou des sites, cela reste relativement rare. De ce fait, ce réseau est utilisé pour héberger des données de manière durable en s’affranchissant des limites techniques ou juridiques pouvant s’imposer aux solutions d’hébergements conventionnelles.

Les différentes mesures de sécurité mises en place par le projet Tor pour assurer la sécurité et l’anonymat des utilisateurs ne sont pas infaillibles et les autorités réussissent régulièrement des opérations de grande ampleur contre les places de marché clandestines. Wall Street Market et Silkkitie ont été récemment la cible d’une opération judiciaire internationale visant à mettre un terme à leurs activités et à arrêter leurs administrateurs.

Pôle menaces cybercriminelles d’Orange Cyberdefense