2023 : un tournant pour la lutte contre les activités illégales du darknet ?

Le web de surface sur lequel nous naviguons chaque jour ne représente que 4 % de l’Internet.¹ Les 96% restants constituent le deep et le darkweb : « ensemble caché de sites Internet accessibles uniquement par un navigateur spécialement conçu à cet effet »² qui préserve l’anonymat et regorge d’applications légales autant qu’illégales. Plongée au cœur du darkweb, un monde dans lequel se côtoient lanceurs d’alerte, journalistes, criminels et cyberattaquants…

Par Camille Léveillé

La double facette du darknet

Dans l’imaginaire collectif, le darkweb rime spontanément avec illégalité. Si cette affirmation est en partie vraie, le darkweb peut également être un formidable outil favorisant une liberté d’expression dans certains pays où elle est bafouée et où la censure est la règle. Des hackers sont récemment venus en aide à des groupes de manifestants en Iran pour contourner la censure d’internet mise en place par le gouvernement. Le darkweb se veut aussi un véritable refuge pour lanceurs d’alertes et journalistes. Il permet à la fois un accès à l’information et offre un espace sécurisé d’expression. SecureDrop, un système grâce auquel des informations précieuses peuvent être déposées de manière sécurisée et anonyme, est l’un des outils les plus connus sur les darknet. On y retrouve notamment la BBC ou le NewYork Times, récupérant et diffusant les informations collectées. Mais cette face cachée du web se veut aussi une place de marché formidable pour les criminels. La vente de drogues illégales représente environ 8 % du marché du darkweb quand les armes à feu « ne concerne qu’ » 1% des annonces.³ Aujourd’hui, c’est la demande de logiciels malveillants qui explose. Elle est trois fois supérieure à l’offre. La vente de données personnelles est également monnaie courante sur les marchés souterrains. En juin 2021, 92 % des utilisateurs de LinkedIn ont vu leurs données (nom, numéros de téléphone, géolocalisation ou encore adresses électroniques) exposées sur le darkweb.⁴ De quoi mener des campagnes d’hameçonnage et des arnaques financières bien rodées. Et personne n’y échappe. Pas même les grands groupes pourtant très armés, à l’image du fleuron de l’armement français, Thales, qui a vu ses données volées et publiées sur le darkweb par le groupe de hackers LockBit 3.0, en novembre dernier, quelques mois seulement après que les pirates s’en soient pris à l’hôpital de Corbeilles-Essones. Pour un ransomware performant, l’acheteur devra débourser 900 dollars⁵ en moyenne quand le prix moyen payé par une entreprise pour récupérer ses données est de 541 000 dollars⁶… « Le marché du vol de données attire aujourd’hui un nombre croissant de cybercriminels qui se spécialisent davantage.Ils ont conscience de la lucrativité de cette activité illégale et du potentiel déploiement en masse » souligne Livia Tibirna, analyste chez SEKOIA. Dans le même temps, « nous remarquons qu’il y a de plus en plus de criminels n’ayant pas d’expérience en cybercriminalité mais qui ont compris l’intérêt fructueux du dark web. D’autant que les autorités publiques et financières ne comprennent pas bien le phénomène » développe Clément Domingo, hacker éthique connu sous le nom de SaxX et co-fondateur de Hackers Sans Frontières (HSF).« Ces derniers temps, nous sommes particulièrement attentifs à une tendance émergente, les cryptoactifs. Le darknet fonctionne sur une logique de capitalisme criminel. Des biens et des services sont constamment à disposition des consommateurs. Et, comme dans le monde physique, l’argent reste le nerf de la guerre sur le darknet. Cet argent, des cryptoactifs, représente des risques variés : dérégulation du marché, volatilité extrême de la monnaie et difficulté de suivi des fonds. » poursuit le Colonel Manet du ComcyberGend.

Une lutte proactive aux résultats prometteurs

Si la criminalité prospère dans cet espace numérique, les polices du monde entier, notamment les organisations Interpol et Europol, ont renforcé leurs moyens de lutte. « Aujourd’hui, Europol est un outil extrêmement puissant, il catalyse une masse importante de renseignements et d’informations au niveau européen mais aussi international. Il s’agit d’un magnifique outil de coordination opérationnelle entre les pays » note le Colonel Manet. En 2021, 150 personnes ont été arrêtées lors d’une opération historique d’Europol pour des faits de revente de drogue, d’armes ou des propositions de services illégaux sur le darkweb. Hydra, une marketplace russophone du darkweb a été fermée en avril 2022, après une enquête de plusieurs mois diligentée par la police allemande. Devenue l’un des moyens les plus efficaces pour contourner les sanctions internationales à l’encontre des ressortissants russes, Hydra leur permettait d’échanger des NFT et des crypto hors des grandes plateformes légales. La marketplace était également connue pour être l’une des plus importantes du trafic de drogue. Avec 17 millions de clients et 19 000 comptes vendeurs, Hydra était le « plus grand marché darknet illégal au monde » selon la police allemande. La coopération se renforce également avec les entreprises privées.« Nous sommes en contact avec les forces de l’ordre pour échanger sur les activités suspectes sur le darkweb. Nous leurs transmettons, par exemple, des informations des nouvelles tendances en matière de cyberattaques afin de les prévenir et qu’ils puissent, le cas échéant, intervenir » explique Livia Tibirna. « Dans l’espace numérique pour lutter efficacement contre des menaces, le plus important reste le partenariat public–privé. Au regard de la typologie de la menace et son importance, nous sommes dans une logique d’ouverture. Plus nous serons nombreux, plus nous serons efficaces. Nous recherchons également des points de vue différents » abonde le Colonel Manet. Et, la lutte va plus loin. « Les forces de l’ordre peuvent infiltrer des groupes criminels sur le darknet. Après avoir récolté assez d’informations sur la nature criminelle de leurs activités, les plateformes illégales sont saisies et fermées. REvil par exemple s’est vu mis à l’arrêt après que les autorités américaines aient infiltré le groupe. Ces opérations sont certes plus longues mais les résultats sont encourageants. Certains groupes sont très mauvais en OpSec et c’est ainsi que nous pouvons les démasquer. » dévoile Clément Domingo. Le législateur, conscient des dangers représentés par le darknet, souhaite faciliter les procédures des cybergendarmes. Aussi, la loi d’orientation et de programmation du ministère de l’Intérieur, promulguée début 2023, prévoit-elle la création d’une nouvelle infraction destinée à « mieux réprimer la cession de produits manifestement illicites sur des plateformes du Darknet, tandis que les moyens d’enquête et d’intervention contre les acteurs de la criminalité en ligne sont renforcés (saisie de crypto actif, renforcement du cadre de l’enquête sous pseudonyme) ».⁷ « L’arsenal législatif dont nous disposons pour lutter contre les activités illégales sur le darknet est aujourd’hui très complet » confie le Colonel Manet.

Le repli vers les applications de messagerie cryptées

Après la disparition d’Hydra dans le paysage du darknet international, les trafiquants de drogue ont dû réfléchir à de nouveaux modèles pour écouler leurs stocks. Et la surveillance dont le darkweb fait désormais l’objet, lui fait perdre de son intérêt. Ce sont donc des applications de messageries instantanées cryptées type Telegram qui prennent le relais et se voient de plus en plus utilisées. Le chiffrement de bout en bout offre une certaine impunité supplémentaire appréciée des trafiquants et une sécurité pour leurs clients. D’autres malfaiteurs ont eux décidé de créer leurs propres applications téléchargeables sur Android fournissant des outils plus poussés. Elles permettent de « transférer des informations sur les commandes de médicaments réussies, et peuvent également envoyer les coordonnées géographiques du « paquet » laissé par le coursier pour un ramassage ultérieur. […] Les acteurs utilisent également des boîtiers magnétiques pour cacher des colis difficilement détectables sans avoir de coordonnées exactes » dévoile la société de cybersécurité Resecurity.⁸ Les forces de l’ordre ont d’ores et déjà pris la mesure de ces nouvelles menaces. Début février, Europol, Eurojust ainsi que les polices italienne, suédoise et française ont démantelé la messagerie cryptée Exclu Messenger utilisée par des criminels notamment dans le cadre de trafics de drogue. Une opération qui a conduit à l’arrestation de 42 personnes, à la saisie de deux laboratoires de fabrication de drogue, de l’argent liquide mais aussi de plusieurs kilos de drogue. Si cette lutte s’intensifie, selon Livia Tibirna, « la menace criminelle sur le darkweb n’est pas prête de s’arrêter. Elle prendra de nouvelles formes mais ne disparaîtra pas ». Pour le Colonel Manet les défis sont nombreux mais les forces de l’ordre sont prêtes et investissent en matière de recrutement, toujours au bénéfice des citoyens en ligne. « Nous souhaitons démontrer, au travers de nos dossiers, que nous sommes au plus près de l’actualité et que nous sommes prêts à relever de nouveaux défis. La lutte contre les activités illégales, notamment sur les applications de téléphonie cryptées, nous oblige à recruter des personnes aux profils qui ont un état d’esprit compatible avec celui des criminels. En termes de recrutement, nous sommes ouverts à tout type de profil » conclut-il.

1^https://www.sales-hacking.com/post/statistiques-dark-web#:~:text=Les%20statistiques%20de%20DDark%20Web,est%20d’environ%206%25.&text=Il%20consomme%20environ%2075%20000,peut%20dire%20le%20chiffre%20r%C3%A9el.

2^ https://www.kaspersky.fr/resource-center/threats/deep-web

3^ Ibid

4^https://www.ouest-france.fr/societe/cyberattaque/cyberattaque-92-des-utilisateurs-de-linkedin-seraient-touches-par-une-nouvelle-fuite-de-donnees-81c35882-d8ec-11eb-9333-fd7799748e3d

5^https://www.numerama.com/cyberguerre/1067180-pourquoi-les-rancongiciels-sont-les-armes-les-plus-rentables-pour-les-hackers.html

6^ Ibid

7^https://www.interieur.gouv.fr/actualites/communiques/gerard-darmanin-ministre-de-linterieur-et-des-outre-mer-salue-decision-du

8^https://www.resecurity.com/blog/article/dark-web-markets-compete-drug-trafficking-illegal-pharmacy-monopoly