L'Apocalypto du Web ce sont les miroirs dans le Dark Web 1/2
Apocalypto veut dire = Révélation !
Lors d’une précédente publication, nous avons constaté qu’environ 70% des domaines actifs recensés sur le Dark web sont en fait des copies (miroirs) d’une soixantaine de sites. Nous allons revenir sur cette notion de sites-miroirs et tenter de trouver une explication à ce phénomène de mirroring de masse.
Qu’est-ce qu’un miroir ? Pourquoi créer des sites-miroirs ?
Un miroir est une copie d’un site à une adresse différente. Cela peut consister, pour un site du Clear Web, à créer une copie dans le Dark Web. Le site du quotidien berlinois Die Tageszeitung (taz.de) dispose, par exemple, d’un miroir sur Tor (ibpj4qv7mufde33w.onion). De nombreux sites du Dark Web disposent également d’un ou plusieurs miroirs sur ce même réseau.
Pour un site web, disposer d’un ou plusieurs miroirs présente plusieurs intérêts. D’une part, cela procure une copie de sauvegarde qui peut s’avérer vitale en cas d’avarie technique du site principal. C’est aussi une mesure utile pour se prémunir contre les attaques de type DDoS. De ce point de vue, les miroirs servent à garantir une continuité de service en cas d’indisponibilité du site original. D’autre part, un miroir peut servir à répartir la charge si de trop nombreuses visites ralentissent le site principal.
Capture d'écran du miroir Tor Die Tageszeitung
Comment repérer les sites-miroirs ?
Dans la pratique usuelle chaque site-miroir contient un lien vers les autres miroirs. Le site de vente de cannabis HydroBull (aujourd’hui disparu) était doté de trois miroirs. Il affichait ainsi sur chacune de ses trois pages d’accueil les trois adresses onion de ses miroirs (entourées en rouge sur la capture d’écran suivante).
Graphe des miroirs HydroBull
Avec le moteur de recherche Aleph Search Dark, nous pouvons afficher les domaines sous forme de graphe. Chaque domaine est représenté par un point. Si un site A contient un lien vers un site B, les points qui représentent ces sites sont alors reliés. Lorsque nous affichons les trois miroirs d’HydroBull sur un graphe, nous constatons que les trois sites sont bien reliés les uns aux autres.
Quelle est la finalité des miroirs ?
Tous les miroirs présents sur le Dark web ne sont pas toujours dans le cas précité. Il est en effet fréquent que des miroirs ne soient pas liés au site d’origine via un hyperlien. La question se pose alors de savoir quelle est la finalité de ces miroirs « isolés ». Certes, ces miroirs présentent toujours l’intérêt de la copie de sauvegarde, mais s’ils ne sont pas référencés par le site original, comment les utilisateurs peuvent-ils savoir sur quelle adresse de secours se rabattre en cas d’indisponibilité du site principal ?
Comme nous l’avons vu dans une publication précédente, une soixantaine de sites du Dark Web disposent chacun de plus de 100 miroirs. Certains sont même dupliqués à quelques milliers d’exemplaires. Lorsque nous visualisons ces sites et leurs miroirs sur un graphe, nous voyons que l’immense majorité des miroirs ne sont pas interconnectés. L’exemple suivant est celui du site Xonions, répliqué à 1 070 reprises.
Nous observons que 27 miroirs sont connectés – et non interconnectés, puisque ce sont 26 miroirs qui référencent un site central. Cet ensemble de 27 sites ne comporte aucun site créé pendant la vague massive de création de miroirs de 2020. Rappelons que cette vague a eu lieu de mars à juillet, avec une décrue jusqu’à début septembre. Seuls quatre miroirs de ce réseau ont été créés après septembre 2020. Tous les autres ont été créés entre l’année 2015 et le mois d’octobre 2019.
Graphe du site Xonions, répliqué à 1070 reprises
Graphe du site Xonions, répliqué à 1070 reprises
Zoom sur l’évolution des sites-miroirs
La majeure partie des autres miroirs a été créée pendant la vague (plus de 800) et après. Le graphique ci-dessous montre la détection des miroirs de Xonions sur la période de janvier 2020 à juin 2021 (la période mars à septembre 2020 est surlignée).
Evolution nombre miroirs Xonions
Evolutions des sites miroirs de Buy Real Money et Amazon Gift Cards
Le même schéma se répète pour de nombreux sites « multi-clonés ». Les miroirs sont presque tous isolés et les dates de création coïncident, comme nous pouvons le voir dans le cas de Buy Real Money (1 613 miroirs) et Amazon Gift Cards (2 126 miroirs).
Il est tout à fait probable que ce mirroring de masse en 2020 soit le fait d’une même personne ou d’une même communauté. En effet, la très forte similitude des schémas relationnels et de l’étalement dans le temps de la création des miroirs le laissent penser.
Nous pouvons formuler une première hypothèse pour expliquer à la fois cette prolifération de miroirs et le fait que ces miroirs ne soient pas interconnectés. Il est en effet possible que le créateur de ces sites ait eu la volonté de saturer le Dark Web et d’acquérir ainsi une plus grande visibilité. Il n’aura toutefois pas fait l’effort de recenser sur chacun des miroirs l’ensemble des adresses des autres miroirs. Cette explication nous semble cependant peu plausible.
A suivre dans la deuxième partie de cet article sur les miroirs :
Les hypothèses possibles
Comment différencier le vrai du faux ?
Les miroirs dans le Dark Web 2/2
Dans la 1ère partie de l’article nous avons abordé les points suivants :
Qu’est-ce qu’un miroir ? Pourquoi créer des sites-miroirs ?
Comment repérer les sites-miroirs ?
Quelle est la finalité des miroirs ?
Zoom sur l’évolution des sites-miroirs
Plusieurs hypothèses possibles
L’hypothèse la plus probable est celle d’une usurpation : les miroirs auraient été créés par une personne extérieure aux sites d’origine. En créant des copies à son compte, l’usurpateur peut ainsi récupérer des identifiants et mots de passe d’utilisateurs qui pensent se connecter au site authentique. Dans le cas d’une usurpation de site marchand, l’usurpateur peut même recevoir le paiement de transactions effectuées sur son site-leurre.
En 2019, une personne qui avait créé plus de 800 leurres s’est ainsi vantée d’avoir gagné plus de 200 bitcoins (environ 1.5 million d’euros à l’époque) avec cette technique. Cette personne a révélé son escroquerie sur la page d’accueil de ses sites-leurres avant de disparaître.
"You've been scammed"
Une grande partie des miroirs présents sur le Dark web sont donc très probablement le fait d’un ou plusieurs imposteurs. Cette prolifération des miroirs-leurres est d’ailleurs une préoccupation pour les divers annuaires du Dark web. En effet, pour être visibles et accessibles, ces leurres doivent être référencés sur les sites qui recensent les domaines du Dark web. Certains annuaires tentent donc de mettre en place des stratégies pour identifier et cesser de référencer les sites piégés. Les uns se basent sur leur intuition, d’autres se basent sur un retour d’utilisateurs, par le biais de votes.
Exemple d'évaluation sur la base de l'intuition
Exemple d'évaluation sur la base de votes
Vrai ou fausse Scam List of Tor ?
En novembre 2018, un internaute victime à six reprises d’escroqueries sur des miroirs-leurres a même entrepris de créer une liste noire de sites usurpateurs. Ce site, nommé Scam List Of Tor, permet aux utilisateurs de signaler les sites suspects (« Submit a scam site »). Les utilisateurs peuvent éventuellement disculper les sites inscrits à tort sur cette liste noire (« Report false listing »).
Scam list Of Tor - Site original
Cette initiative n’est pas passée inaperçue auprès des créateurs de sites piégés. Un an plus tard, le premier miroir malicieux de Scam List Of Tor était créé. Comme le créateur du site original le signale sur sa page, les escrocs ont imité son site mais ont rajouté une section supplémentaire : les sites vérifiés. Cette section, censée désigner des sites de confiance, redirige les utilisateurs vers des leurres.
Scam List Of Tor - Miroir leurre
Depuis cette date, le site a été répliqué à 1 440 exemplaires, tous malicieux. Comble du raffinement, le ou les créateurs de ces « pièges à touristes » du Dark Web ont cette fois pris la peine de faire en sorte qu’une grande partie de leurs sites se référencent entre eux. Ils donnent ainsi l’illusion d’une plus grande crédibilité. Un utilisateur qui voudrait vérifier l’authenticité du site pourrait en effet être tenté de faire un contrôle de cohérence entre plusieurs versions de Scam List Of Tor. Comme les leurres se référencent les uns les autres, l’utilisateur est pris au piège, comme dans une toile d’araignée. En quelque sorte, nous pouvons parler ici d’une « web of trust » inversée.
Les réseaux de faux Scam List of Tor
Le graphe suivant illustre à la fois la ténacité des créateurs des miroirs malicieux (les cercles rouges) et le poids relatif du site original (le triangle bleu). Nous observons deux réseaux très interconnectés et trois réseaux moins fournis. Sur le plus gros réseau, quatre nœuds font office de référence. En effet, leur taille est proportionnelle au nombre de liens qui dirigent vers ces sites.
Nous voyons ici l’ironie qui sévit sur le Dark Web. Non seulement une grande partie de sa masse totale est constituée de sites qui escroquent des personnes qui pensent pouvoir effectuer des opérations frauduleuses… en toute confiance, mais les sites censés dénoncer les tromperies sont eux aussi usurpés. Ceci ne doit toutefois pas occulter le caractère tout à fait réel et sérieux d’une autre partie du Dark Web. A côté de ces miroirs, il reste en effet un volume non négligeable de plusieurs milliers de sites, dont nous ferons prochainement un tour d’horizon.
REF.: https://www.aleph-networks.eu/ressources-blog-les-miroirs-dans-le-dark-web-2-2/