Opération Onymous

(Redirigé depuis Operation Onymous)

L'opération Onymous est une opération légale internationale menée en novembre 2014 contre les marchés illicites du dark web ainsi que d'autres services cachés opérant sur le réseau Tor.

Siège d'Europol à La Haye

Contexte

modifier

L'opération Onymous a été montée conjointement par le Bureau fédéral d'enquête (FBI) américain et l'agence européenne de police criminelle Europol[1]. Ont également apporté leur contribution le Département américain de la sécurité intérieure[2], Immigration and Customs Enforcement (ICE) et Eurojust[3] .

L'opération est un exemple de la collaboration internationale dans la lutte contre les logiciels malveillants, les botnets, les marchés illicites et les darknets[2]. Elle est également liée à la guerre contre la drogue via la participation de la Drug Enforcement Administration (DEA) des États-Unis[4].

Page d'accueil de Doxbin, l'un des sites .onion fermés dans le cadre de l'opération Onymous.

Les 5 et 6 novembre 2014, un certain nombre de sites Web (initialement annoncé à plus de 400) a été fermé, parmi lesquels des marchés de la drogue tels que Silk Road 2.0, Cloud 9 et Hydra[5],[6]. Parmi les autres sites ciblés, on retrouve des sites dédiés au blanchiment d'argent et à la fourniture de marchandise de contrebande. L'opération a impliqué les forces de police de 17 pays[7] et a débouché sur 17 arrestations[5]. Un développeur de logiciels de 26 ans, arrêté à San Francisco et accusé d'avoir dirigé la plateforme Silk Road 2.0 sous le pseudonyme de Defcon[8], était « l'une des principales cibles » de l'opération[5]. Quelques heures après la saisie, une troisième incarnation du site est apparue sous le sobriquet de Silk Road 3.0 : d'une manière similaire, après la saisie par les forces de l'ordre de Silk Road en octobre 2013, la plateforme avait été ressuscitée quelques semaines plus tard sous le nom de Silk Road 2.0[9].

Les saisies comportent 1 million de dollars en Bitcoin, ainsi que 180000 euros en espèces, en or, en argent et en drogue[10].

Parmi les « services illicites » dont la fermeture a initialement été annoncée[7], peu étaient des marchés en ligne. La plainte déposée le 7 novembre 2014 auprès du tribunal du district sud de New York, demandant « la confiscation de l'ensemble des actifs des sites Web (...) opérant sur le réseau Tor suivants » ne concernait que 27 sites.

Parmi ces sites, quatorze sont accusés d'avoir été des plateformes de trafic de drogue ; les autres auraient vendu de la fausse monnaie, de faux documents d'identité ou des cartes de crédit volées[11].

Les agences américaines et européennes ont cherché à faire de la publicité autour du succès revendiqué de leur opération de six mois, qui se serait « déroulée sans problème »[12]. Le communiqué de presse officiel d'Europol, citant un responsable américain de l'Immigration and Customs Enforcement, a déclaré : « Nos efforts ont causé l'interruption d'un site Web permettant aux activités illicites du marché noir d'évoluer et se développer, et fournissant un refuge pour les vices illégaux tels que la distribution d'armes, le trafic de drogue et les tueurs à gage." [10],[12]

Les autres grandes plateformes de trafic de drogue sur le Dark Web (parmi lesquelles Agora, Evolution et Andromeda) n'ont pas été affectées par l'opération, alors même que Silk Road, contrairement à son rival Evolution, ne proposait pas d'armes ou d'assassinats commandités[13]. Avant la fermeture de Silk Road 2.0, la plateforme Agora comptait déjà davantage d'annonces que Silk Road, et il était également attendu d'Evolution qu'elle dépasse Silk Road en volume[5],[14]. De fait, Agora et Evolution sont considérées comme des opérations plus professionnalisées que Silk Road, protégées par des systèmes de sécurité plus avancés ; ce qui a amené à penser que l'arrestation du directeur présumé de Silk Road est en grande partie due à une série d'erreurs et d'imprudences de sa part[15],[13],[16].

Le chiffre initial de 414 sites du darknet, qui a été largement diffusé à l'échelle internationale et est apparu dans de nombreux titres de journaux[17],[18],[19], s'est ensuite vu ajuster sans explication à « plus de 50 »[15],[20],[21]. Il est supposé que le vrai nombre de sites est plus proche de 27, vers lesquels les 414 adresses .onion envoient une redirection[16],[20],[22],[23]. Le journaliste australien Nik Cubrilovic a affirmé avoir découvert 276 sites saisis, sur la base d'une analyse de tous les sites .onion, parmi lesquels 153 étaient des sites d'escroquerie, de clonage ou d'hameçonnage[24].

Faille 0-day de Tor

modifier

Le nombre de sites initialement annoncé comme infiltrés a conduit à la spéculation qu'une vulnérabilité non-documentée (dite zero-day) du réseau Tor avait été trouvée et exploitée par les agences participant à l'opération. Cette possibilité a été minimisée par Andrew Lewman, un représentant du projet Tor, qui suggère quant à lui comme plus probable l'utilisation de moyens plus traditionnels tels que le traçage de Bitcoins[17],[15],[25]. Lewman a suggéré que de telles affirmations étaient « exagérées » et que les autorités voulaient simplement donner l'impression d'avoir « craqué » Tor afin de dissuader d'autres acteurs d'utiliser le réseau à des fins criminelles. Un représentant d'Europol, interrogé sur la méthode utilisée, a déclaré : « C'est quelque chose que nous voulons garder pour nous. La façon dont nous faisons cela, nous ne pouvons pas la partager avec le monde entier, car nous voulons le faire encore et encore et encore. »[5].

Il a été avancé que l'anonymat de certains services du darknet aurait pu être levé si les forces de l'ordre avaient reproduit le résultat des recherches menées par le CERT de l'Université Carnegie-Mellon avant l'application du correctif fourni le 30 juillet par le réseau Tor[26]  : si suffisamment de nœuds de relais étaient simultanément victimes d'une attaque par déni de service (DDoS), cela forcerait le trafic à passer par les nœuds attaquants, un attaquant pouvant ensuite effectuer des attaques de corrélation de trafic à l'aide d'une attaque Sybil. Les journaux publiés par l'administrateur de Doxbin ont partiellement soutenu cette théorie[27].

Références

modifier
  1. Misty Blowers, Evolution of Cyber Technologies and Operations to 2035, Dordrecht, Springer, , 133 p. (ISBN 9783319235844)
  2. a et b Peggy E. Chaudhry, Handbook of Research on Counterfeiting and Illicit Trade, Cheltenham, Edward Elgar Publishing, , 182, 375 (ISBN 9781785366444)
  3. (en) Janine Kremling et Amanda M. Sharp Parker, Cyberspace, Cybersecurity, and Cybercrime, SAGE Publications, (ISBN 9781506392288, lire en ligne)
  4. (en) Michael Adorjan et Rose Ricciardelli, Engaging with Ethics in International Criminological Research, Routledge, (ISBN 9781317382874, lire en ligne)
  5. a b c d et e Greenberg, « Global Web Crackdown Arrests 17, Seizes Hundreds Of Dark Net Domains », Wired,
  6. Greenberg, « Not Just Silk Road 2: Feds Seize Two Other Drug Markets and Counting », Wired,
  7. a et b Tom Fox-Brewster, « Silk Road 2.0 targeted in 'Operation Onymous' dark-web takedown », The Guardian, (consulté le )
  8. Robert McMillan, « Alleged Silk Road 2 Mastermind Worked for Ex-Googler's Secret Startup », Wired, (consulté le )
  9. James Cook, « There's Already A Silk Road 3.0 », UK Business Insider, (consulté le )
  10. a et b « Global Action Against Dark Markets On Tor Network », Europol, (consulté le )
  11. Kate Vinton, « So Far Feds Have Only Confirmed Seizing 27 "Dark Market" Sites In Operation Onymous », Forbes, (consulté le )
  12. a et b James Cook, « More Details Emerge Of How Police Shut Down Over 400 Deep Web Marketplaces As Part Of 'Operation Onymous' », UK Business Insider, (consulté le )
  13. a et b Andy Greenberg, « The Dark Web Gets Darker With Rise of the 'Evolution' Drug Market », Wired, (consulté le )
  14. Christopher Ingraham, « The FBI promises a perpetual, futile drug war as it shuts down Silk Road 2.0 », Washington Post, (consulté le )
  15. a b et c Patrick Howell O'Neill, « The truth behind Tor's confidence crisis », The Daily Dot, (consulté le )
  16. a et b Alex Hern, « Operation Onymous may have exposed flaws in Tor, developers reveal », The Guardian, (consulté le )
  17. a et b Wakefield, « Huge raid to shut down 400-plus dark net sites », BBC, (consulté le )
  18. Alistair Charlton, « Operation Onymous: Six Britons Arrested as Police Bust 400 Drug Dealing Dark Websites », International Business Times, (consulté le )
  19. Martyn Williams, « Biggest ever Tor raid hits 410 underground sites; 17 arrested », PC World, (consulté le )
  20. a et b Patrick Howell O'Neill, « Just how many Dark Net sites did cops really shut down? », The Daily Dot, (consulté le )
  21. Benjamin Weiser and Doreen Carvajal, « International Raids Target Sites Selling Contraband on the 'Dark Web' », New York Times, (consulté le )
  22. Dave Lee, « Dark net experts trade theories on 'de-cloaking' after raids », BBC, (consulté le )
  23. phobos, « Thoughts and Concerns about Operation Onymous », Tor blogs, (consulté le )
  24. Nik Cubrilovic, « Large Number of Tor Hidden Sites Seized by the FBI in Operation Onymous were Clone or Scam Sites », (consulté le )
  25. Shawn Knight, « Operation Onymous seizes hundreds of darknet sites, 17 arrested globally », Techspot, (consulté le )
  26. « Did the FBI Break Tor? », (consulté le )
  27. « Did Feds Use DDoS Attacks to Deanonymize Darknet Sites Seized in Operation Onymous? », (consulté le )

Liens externes

modifier