Explorer le côté obscur : Outils et techniques OSINT pour démasquer les opérations sur le web sombre

2p, Freenet, I2P et ZeroNet sont tous devenus des méthodes populaires pour les utilisateurs du dark web afin d’héberger leurs propres sites web qui sont beaucoup plus résistants aux takedowns.

Le 5 avril 2023, le FBI et la police nationale néerlandaise ont annoncé le démantèlement de Genesis Market, l’une des plus grandes places de marché du dark web. L’opération, baptisée « Opération Cookie Monster », a permis l’arrestation de 119 personnes et la saisie de plus d’un million de dollars en crypto-monnaie. Vous pouvez lire le warrant du FBI ici pour les détails spécifiques à cette affaire. À la lumière de ces événements, j’aimerais discuter de la manière dont l’OSINT peut contribuer aux enquêtes sur le dark web.

L’anonymat du Dark Web attire une grande variété d’utilisateurs, depuis les dénonciateurs et les activistes politiques jusqu’aux cybercriminels et aux terroristes. Plusieurs techniques peuvent être utilisées pour tenter d’identifier les individus qui se cachent derrière ces sites et ces personnages.

Bien qu’il ne s’agisse pas d’OSINT, il est arrivé que des vulnérabilités techniques existent dans la technologie utilisée pour héberger les sites web obscurs. Ces vulnérabilités peuvent exister dans le logiciel lui-même ou être dues à de mauvaises configurations, mais elles peuvent parfois révéler la véritable adresse IP du site. Souvent, ces vulnérabilités logicielles nécessitent des outils et des techniques de pen-testing tels que Burp Suite pour induire des messages d’erreur contenant la véritable adresse IP du site. Les vulnérabilités de ce type sont peu courantes et rarement utilisées.

Il est également arrivé que des opérateurs de sites web obscurs utilisent des certificats SSL ou des clés SSH, qui peuvent être associés à leur véritable adresse IP à l’aide de services tels que Shodan ou Censys.

Les transactions sur le dark web impliquent souvent des crypto-monnaies en échange de biens et de services illégaux. Cela ouvre la possibilité d’identifier des individus à l’aide d’outils d’analyse de la blockchain.

Je ne peux pas aller dans une banque et ouvrir un compte en utilisant le nom « anonyme » en raison des lois conçues pour empêcher le blanchiment d’argent. Ces exigences sont souvent appelées lutte contre le blanchiment d’argent (AML) et connaissance du client (KYC) et exigent que les clients fournissent une pièce d’identité délivrée par le gouvernement pour prouver leur identité.

De nombreux pays ont des exigences similaires sur les échanges de crypto-monnaies.

Les échanges de crypto-monnaies sont également soumis à des exigences de connaissance du client.
Depuis plusieurs années, des entreprises fournissent des outils d’analyse de la blockchain qui tentent de relier les adresses de crypto-monnaies à des bourses spécifiques, telles que Coinbase ou Binance.

Une fois qu’une adresse de crypto-monnaie est liée à une bourse spécifique, les forces de l’ordre et/ou les enquêteurs financiers dotés d’une autorité légale peuvent demander que la bourse leur fournisse des informations d’identification pour le propriétaire de ce compte.

Historiquement, ces services d’analyse de la blockchain ont été d’un coût prohibitif pour les particuliers, cependant, Breadcrumbs, a récemment lancé une plateforme d’analyse qui propose des prix beaucoup plus abordables (y compris un plan gratuit).

Imaginez que vous exploitez un food truck constamment contraint de changer d’emplacement en raison d’une ordonnance municipale selon laquelle vous ne pouvez jamais être au même endroit plus de deux fois par mois. Comment essayeriez-vous de fidéliser votre marque et de faire savoir à vos clients potentiels où vous vous trouvez chaque jour ? Vous essayez probablement d’inciter les clients à se connecter avec vous sur les médias sociaux ou à visiter votre site web etc. pour qu’ils sachent où vous trouver. Croyez-le ou non, il existe une dynamique très similaire sur le darkweb.

Ce que le dark web offre en termes d’anonymat, et ce qui lui manque en termes de stabilité et de sécurité. Des marchés importants tels que Silk Road, AlphaBay, Hansa, Wall Street et maintenant Genesis ont tous été démantelés par les forces de l’ordre. Les attaques par déni de service sont devenues un problème majeur sur le réseau Tor, comme en témoigne le populaire forum « Dread » qui a récemment été fermé pendant plusieurs mois en raison de telles attaques. Pouvez-vous imaginer essayer de gérer une entreprise et d’obtenir un revenu stable dans un tel environnement ?

Les personnes présentes sur le dark web participent souvent à des forums pour communiquer, répondre à des questions, etc. Ils peuvent révéler par inadvertance des informations qui peuvent aider les praticiens de l’OSINT à en savoir plus sur leur véritable identité. Le langage qu’ils utilisent et leurs expressions uniques peuvent être extrêmement utiles.

Même si un courriel est lié à un service anonyme, l’utilisateur peut l’avoir utilisé sur d’autres sites, y compris des forums et des médias sociaux. Si vous êtes légalement et moralement en mesure d’utiliser des données de violation dans vos enquêtes, vous pouvez être en mesure de relier une personne en ligne à un vrai nom, une adresse physique, etc.

Un exemple de fuite qui s’est avérée utile pour certains enquêteurs est la fuite de 10 Go de données de plusieurs fournisseurs de VPN, dont SuperVPN, GeckoVPN et ChatVPN, survenue entre 2021 et 2022. Ces données contenaient les noms complets, les détails de la facturation et des identifiants potentiellement uniques sur les appareils utilisés, y compris l’identité internationale de l’abonné mobile (IMSI) des appareils mobiles.

À l’avenir, les démantèlements de marchés du dark web utiliseront les méthodes évoquées ici et intégreront sans aucun doute des technologies émergentes. Le développement le plus évident est l’utilisation de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) dans l’OSINT. Par exemple, l’IA peut aider à construire des outils de raclage de sites web qui peuvent rapidement collecter et analyser des données provenant de sources multiples, tandis que les algorithmes de ML peuvent être formés pour identifier des modèles et des relations dans les données Ces avancées ont le potentiel de faire gagner aux enquêteurs beaucoup de temps et de ressources, leur permettant de se concentrer sur d’autres aspects de leurs enquêtes.

Partager:

Les dernières actualités :