Close

Le paradoxe TOR

Lancé en 2001, Tor est le plus connu des « darknets », ces réseaux superposés, ou overlay qui, à l’instar de I2P ou de Freenet, se superposent aux réseaux existants avec des applications et une couche de protocoles proposant des fonctionnalités d’échange de fichiers et un écosystème complet (sites, blog, mail, chat…) offrant un fort niveau d’anonymisation. Utilisant des technologies de routage « en oignon » développées par l’US Navy dans les années 90, largement financé par le Gouvernement américain pour promouvoir la démocratie dans le monde, refuge pour cybercriminels en tout genre, Tor est en même temps soutenu par la plupart des organisations de défense de la vie privée au nom de la liberté d’expression et de la lutte contre « big brother ». C’est là tout le paradoxe de ce réseau qui est aujourd’hui à la croisée des chemins et cherche à gagner en respectabilité. Il devrait d’ailleurs prochainement être intégré directement dans Firefox pour offrir un mode de navigation « super privé ».

Qu’es-ce que TOR ?

Créé aux USA dans les années 1990 par le US Naval Research Laboratory, Tor est à l’origine un projet militaire qui avait pour objectif de permettre aux communications de la Défense de se fondre dans l’anonymat du réseau et de gagner en résilience.

En pratique, Tor recouvre principalement 2 choses :

  • Des fonctionnalités de connexion sécurisées permettant de naviguer de façon anonyme sur internet. Le navigateur Tor permet de se connecter à une cible via une série de relais qui assurent un routage « en oignon » en utilisant des canaux de communications chiffrés, ce qui assure à l’internaute un haut niveau d’anonymat. Tor se caractérise donc par une architecture maillée comprenant environ 7 000 relais. Parmi les fonctionnalités proposées : SecureDrop(1), lancé en 2013, qui permet les échanges sécurisés entre journalistes et sources d’information, et qui a été adopté par le New York Times ou le Washington Post ;
  • Des blogs, sites, forums, et places de marché. On y dénombre notamment entre 45 et 60 000 « Hidden Services » (ou HSE) qui sont en forte progression (2). Accessible uniquement via des annuaires d’adresses et quelques moteurs spécialisés, ils représentent moins de 8% du trafic total du réseau Tor mais rassemblent une population d’environ 600 000 utilisateurs actifs. A noter qu’à côté des HSE, certaines ressources sont désormais ouvertes. Depuis 2014, Facebook a ainsi créé son propre site dans Tor afin de protéger ses utilisateurs de la censure en place dans certains pays. Selon les chiffres communiqués par l’entreprise, un million d’individus se connecteraient aujourd’hui au réseau social via Tor.

Au total, Tor représente un volume total de 2,5 millions d’utilisateurs par jour pour l’ensemble de ses services. Au plan géographique, Etats-Unis et Russie arrivent en tête, la France arrivant en 5ème position avec environ 125 000 utilisateurs réguliers.

Top 10 des pays utilisateurs de TOR

Source : https://metrics.torproject.org/userstats-relay-table.html

Les « Hidden services » montrés du doigt

Ce n’est donc pas tant Tor en général que les HSE en particulier qui soulèvent aujourd’hui un véritable défi de sécurité et d’ordre public(3). Compte tenu de l’anonymat quasi absolu qu’il procure à ses utilisateurs, le réseau est en effet devenu :

  • Un accélérateur de la criminalité traditionnelle (pédopornographie ; trafic de drogue, d’armes, de biens volés, de contrefaçons, de numéros de cartes bancaires ; piratage d’œuvres audio-visuelles…). La pédopornographie représenterait même, selon une étude de l’Université de Porstmouth, 80% des consultations(4). Une dérive reconnue par Andrew Lewman, ancien directeur du Tor Project jusqu’en 2015 et aujourd’hui à la tête de la société Owl Cybersecurity, spécialisée dans « l’intelligence » sur le darkweb, quand il admettait récemment que 95% de l’activité de Tor était devenue criminelle…(5) ;
  • Un élément clé de la « kill chain » cybercriminelle, via la mise à disposition de ressources permettant la réalisation d’attaques informatiques (vente d’identifiants et de mots de passe volées, de services d’attaque « as a service » …) ou la commercialisation des données volées lors d’une attaque. Il semble d’ailleurs que le réseau Tor et ses HSE soient de plus en plus utilisés dans le cadre d’attaques DDoS ou APT. Un rôle également facilité par l’explosion des crypto-monnaies et notamment du Bitcoin dont l’utilisation en tant que moyen de paiement sur les Darknets aurait atteint 603 millions de dollars en 2018 après un record à 707 millions en 2017(6).

Certaines organisations terroristes, notamment islamistes, ont enfin pris conscience du potentiel des darknets pour échanger, préparer et financer des opérations ou bien encore mener des campagnes de propagande, comme en témoigne le guide publié en 2015 par l’Etat islamique(7). Même s’il comportait un certain nombre de conseils très basiques et quelque peu déconnectés des réalités, l’ouvrage témoignait aussi de l’intérêt que pouvait susciter les Darknets pour des organisations terroristes.

Qui gère et finance Tor ?

Le Tor project est depuis 2006 géré par une organisation à but non lucratif(8), qui en assure la maintenance pour un budget d’environ 3 à 4 millions de dollars par an avec le soutien de nombreux lobbies militant pour la protection de la vie privée et contre la surveillance de masse, comme l’Electronic Frontier Foundation (EFF) ou l’American Civil Liberties Union (ACLU). Dans le même temps le projet était financé en quasi-totalité jusqu’en 2017 par le gouvernement américain via l’US Navy, le State Department, ou bien encore le Broadcast Board of Governors, émanation de la CIA assurant la diffusion de contenus audio-vidéo à l’étranger, notamment à travers des radios comme Radio Free Asia ou Radio Free Europe.

Un rapport publié par le Tor project indique ainsi que 85% de ses ressources provenaient du gouvernement américain en 2015, 76% en 2016, 51% en 2017(9). L’organisation lorgne désormais sur des financements privés (Mozilla, Reddit, Duckduckgo…) pour diminuer sa dépendance aux fonds publics et restaurer sa réputation, largement entachée par les révélations concernant ses liens étroits avec le gouvernement américain. « Tor est devenu une « extension privée » du gouvernement qu’il prétendait combattre », souligne le journaliste Yasha Levine(10) qui a exploité de nombreux documents communiqués au nom du Freedom of Information Act.
De fait, l’organisation doit faire oublier quelques épisodes fâcheux, à commencer par les révélations d’Edward Snowden en 2013 sur l’existence du programme Bullrun visant notamment à « désanonymiser » le réseau, ou, plus récemment, celles concernant le « hacking » du réseau par l’Université Carnegie Mellon, à la demande du FBI, dans le cadre des investigations sur le site Silk Road(11). « En réalité, depuis l’affaire Snowden, le statu quo en ce qui concerne Tor semble n’avoir pas bougé : la NSA ou le GCHQ, comme d’autres grandes agences de renseignement COMINT, sont tout à fait capables de désanonymiser un ou plusieurs utilisateurs de TOR en utilisant de différentes techniques, mais il reste pour le moment apparemment impossible de le faire à grande échelle pour rendre le trafic de Tor accessible. Et accéder au trafic d’autres réseaux tels que Freenet ou I2P est aussi compliqué, voire plus difficile » souligne Laurent Gayard dans un récent ouvrage très complet sur le sujet(12). De fait, les tentatives, réussies ou pas, de l’Administration américaine pour obtenir des données sur les utilisateurs et les contenus de Tor ont au moins eu le mérite d’attester qu’il n’existait pas de « backdoor » par défaut dans le système…

Comment réguler les Darknets ?

Le premier moyen est l’auto-régulation. Celle-ci existe bel et bien sur certains blacks markets, les utilisateurs se liguant contre les personnes ne respectant pas les « codes éthiques » établis, notamment celles qui se livrent à l’apologie du terrorisme ou à l’échange de contenus pédopornographiques. La sanction peut aller jusqu’au bannissement de l’utilisateur ou au « dox », c’est-à-dire la révélation au public des données le concernant. Fondée sur l’éthique « à géométrie variable » des utilisateurs des darknets, cette auto-régulation est bien évidemment insuffisante…

Pour que Tor n’échappe pas totalement à ses créateurs et ne soit pas une zone de non-droit, il faut donc envisager différentes capacités techniques, comme le soulignaient en 2015 Michael Chertoff et Tobby Simon, pour la Global Commission on Internet Governance(13) :

  • La cartographie des « hidden services » (HSE) grâce au déploiement d’un nœud permettant d’exploiter la base de données distribuée utilisée pour la résolution des domaines. La possibilité de déployer pour tout un chacun un nœud de sortie est en effet l’un des points faibles du réseau ;
  • La surveillance des HSE par des acteurs publics et privés. La tâche est particulièrement difficile compte tenu de leur volatilité : 90% d’entre eux se renouvèlent tous les 18 mois. La DARPA finance à cet égard plusieurs projets comme Memex(14), tandis qu’en France une société comme Aleph Networks(15) collecte et indexe désormais des millions de pages sur Tor ;
  • La surveillance des « paste bin » et autres ressources du « deep web » qui constituent souvent des portes d’entrée vers les darknets et qui permettent de cibler des domaines Tor à surveiller ;
  • L’exploitation des données des fournisseurs d’accès pour identifier les connexions à des domaines « non standard » ;
  • La surveillance des transactions financières opérées depuis le darkweb. Contrairement aux idées reçues, les flux Bitcoin ne sont pas anonymisés mais pseudonomysés. Ils sont donc traçables.

Autant de capacités qui sont le préalable indispensable à toute judiciarisation des affaires concernant les Darknets. C’est ainsi que le FBI a pu fermer Silk Road en 2013 ou bien encore mener conjointement avec Europol l’opération Onymous en 2014 pour fermer 400 sites vendant de la drogue et des armes. Autre exemple plus récent : la fermeture du marché noir francophone Black Hand en juin 2018 qui comptait 3 000 inscrits(16).

La lutte contre les dérives des Darknets procède donc d’une course de vitesse permanente entre les criminels et les autorités, avec le risque que ne se développe des Darknets encore plus « sombres », et donc encore plus compliqués à réguler, au fur à mesure que Tor gagne en respectabilité.

[1] https://securedrop.org/

[2] A comparer aux 2 milliards de sites web.

[3] Lire à ce propos la note stratégique de CEIS sur les Black Markets francophones accessible sur : https://ceis.eu/wp-content/uploads/2019/01/NoteStrat_Black_Market_Web.pdf

[4] https://www.theguardian.com/technology/2014/dec/31/dark-web-traffic-child-abuse-sites

[5] https://www.cyberscoop.com/tor-dark-web-andrew-lewman-securedrop/

[6] https://blog.chainalysis.com/reports/decoding-darknet-markets

[7] https://www.centerforsecuritypolicy.org/2015/05/20/islamic-state-supporters-publish-a-how-to-guide/

[8] https://www.torproject.org/about/overview.html.en

[9] https://blog.torproject.org/transparency-openness-and-our-2016-and-2017-financials

[10] https://surveillancevalley.com/blog/fact-checking-the-tor-projects-government-ties

[11] https://www.zdnet.fr/actualites/desanonymisation-de-tor-carnegie-mellon-etait-effectivement-impliquee-39833322.htm

[12] Géopolitique du Darknet, nouvelles frontières et nouveaux usages du numérique, ISTE Editions, janvier 2018.

[13] https://www.cigionline.org/sites/default/files/gcig_paper_no6.pdf

[14] https://www.usine-digitale.fr/article/la-darpa-cree-le-google-du-dark-web-pour-aider-la-police-dans-ses-enquetes-sur-les-trafics-en-tout-genre.N312950

[15] http://www.aleph-networks.com/

[16] https://www.nextinpact.com/brief/arrestations-en-serie-pour-des-pirates-de-l-internet-clandestin–black-hand-et-rex-mundi-4439.htm