Des chercheurs en sécurité ont développé un moteur de recherche qui analyse les activités cybercriminelles qui se trament à l’ombre de la Toile. Les résultats sont, parfois, choquants.

Pour éviter d’être découverts, les cybercriminels opèrent toujours de façon cachée. Leurs échanges sont discrets, ils se tiennent au plus profond du « Deep Web », cette partie de la Toile qui n’est pas indexée par les moteurs de recherche usuels. On y trouve bien sûr les places de marché du Dark Web, accessibles uniquement par des logiciels spéciaux comme Tor, I2P ou Freenet. Mais aussi des sites hébergés dans des domaines alternatifs non gérés par l’Icann et qui ne sont pas pris en charge par les résolveurs DNS classiques. C’est le cas par exemple du .BIT adossé au Namecoin, de la Toile libertaire d’OpenNIC et Name.space ou de l’Internet parallèle de l’ « église césidienne »  (si, si ça existe).

A l’occasion de la conférence Black Hat Europe 2015, qui se tient à Amsterdam, les chercheurs en sécurité Marco Balduzzi et Vincenzo Ciancaglini ont présenté leur « Deep Web Analyzer » (DeWA), un moteur de recherches qui permet de faire remonter une partie de ce contenu caché. L’objectif étant de mettre en lumière les tendances et les usages du monde de la cybercriminalité.

Leur système aspire des URLs trouvés sur diverses sources – forums publics, listes dans le Dark Web, Twitter, Pastebin, Reddit, etc. – puis analyse les pages. Elles sont traduites par le service Google Traduction, puis stockées, indexées et synthétisées au travers d’un nuage de mots-clés.

En l’espace de deux ans, DeWA a mis la main sur 611 000 URLs de 20 500 domaines. Sans surprise, il apparaît que la langue du cybercrime est l’anglais, qui représente 75 % du contenu aspiré. Loin derrière arrive le russe et le français. Le protocole le plus utilisé est, de loin, HTTP. Mais les chercheurs ont également trouvé plus d’une centaine de domaines dédiés aux échanges par IRC.

Au final, il se dégage de cette analyse une grande variété d’activités illégales. Les chercheurs sont tombés sur des sites de ventes (drogues, armes, passeports, données bancaires…), des services de blanchiment d’argent, des sites de révélations d’informations personnelles (« doxing ») pour provoquer une vindicte populaire (vis-à-vis d’agents du FBI ou de célébrités par exemple), etc.

Parmi les choses les plus choquantes figurent les services de tueurs à gage avec tarifs à la clé. « En tant que chercheurs, il nous est impossible de savoir si ces services sont vrais ou non. C’est aux forces de l’ordre de se pencher sur cette question. D’ailleurs, nous coopérons régulièrement avec elles », souligne Vincenzo Ciancaglini.

L’un des sites de cette catégorie macabre était particulièrement étonnant : un service de meurtre à la demande basé sur le financement participatif. Des personnes ajoutent un nom et mettent au pot. L’assassin récupère la somme après avoir rempli son contrat. Et le tout se fait de manière anonyme. « Pour l’instant, seules quatre personnes figurent sur ce site et personne n’a mis de l’argent. Il s’agit probablement d’un hoax », estiment les chercheurs.Enfin, le Deep Web sert également d’infrastructure technique pour piloter les réseaux de botnets et diffuser les malwares. Le malware Vawtrak, par exemple, utilise Tor pour diffuser auprès des machines zombies les adresses IP des serveurs de commande et contrôle. Pour rendre la détection encore plus compliquée, ces adresses sont codées par stéganographie dans des images d’icône. Le livre blanc de ce projet peut être téléchargée sur le site de la conférence Black Hat.

source: www.01net.com