Opération Onymous

L'opération Onymous est une opération légale internationale menée en novembre 2014 contre les marchés illicites du dark web ainsi que d'autres services cachés opérant sur le réseau Tor.

Siège d'Europol à La Haye

Contexte

L'opération Onymous a été montée conjointement par le Bureau fédéral d'enquête (FBI) américain et l'agence européenne de police criminelle Europol^[1]. Ont également apporté leur contribution le Département américain de la sécurité intérieure^[2], Immigration and Customs Enforcement (ICE) et Eurojust^[3] .

L'opération est un exemple de la collaboration internationale dans la lutte contre les logiciels malveillants, les botnets, les marchés illicites et les darknets^[2]. Elle est également liée à la guerre contre la drogue via la participation de la Drug Enforcement Administration (DEA) des États-Unis^[4].

Raids

Page d'accueil de Doxbin, l'un des sites .onion fermés dans le cadre de l'opération Onymous.

Les 5 et 6 novembre 2014, un certain nombre de sites Web (initialement annoncé à plus de 400) a été fermé, parmi lesquels des marchés de la drogue tels que Silk Road 2.0, Cloud 9 et Hydra^[5],[6]. Parmi les autres sites ciblés, on retrouve des sites dédiés au blanchiment d'argent et à la fourniture de marchandise de contrebande. L'opération a impliqué les forces de police de 17 pays^[7] et a débouché sur 17 arrestations^[5]. Un développeur de logiciels de 26 ans, arrêté à San Francisco et accusé d'avoir dirigé la plateforme Silk Road 2.0 sous le pseudonyme de Defcon^[8], était « l'une des principales cibles » de l'opération^[5]. Quelques heures après la saisie, une troisième incarnation du site est apparue sous le sobriquet de Silk Road 3.0 : d'une manière similaire, après la saisie par les forces de l'ordre de Silk Road en octobre 2013, la plateforme avait été ressuscitée quelques semaines plus tard sous le nom de Silk Road 2.0^[9].

Les saisies comportent 1 million de dollars en Bitcoin, ainsi que 180000 euros en espèces, en or, en argent et en drogue^[10].

Parmi les « services illicites » dont la fermeture a initialement été annoncée^[7], peu étaient des marchés en ligne. La plainte déposée le 7 novembre 2014 auprès du tribunal du district sud de New York, demandant « la confiscation de l'ensemble des actifs des sites Web (...) opérant sur le réseau Tor suivants » ne concernait que 27 sites.

Parmi ces sites, quatorze sont accusés d'avoir été des plateformes de trafic de drogue ; les autres auraient vendu de la fausse monnaie, de faux documents d'identité ou des cartes de crédit volées^[11].

Les agences américaines et européennes ont cherché à faire de la publicité autour du succès revendiqué de leur opération de six mois, qui se serait « déroulée sans problème »^[12]. Le communiqué de presse officiel d'Europol, citant un responsable américain de l'Immigration and Customs Enforcement, a déclaré : « Nos efforts ont causé l'interruption d'un site Web permettant aux activités illicites du marché noir d'évoluer et se développer, et fournissant un refuge pour les vices illégaux tels que la distribution d'armes, le trafic de drogue et les tueurs à gage." ^[10],[12]

Les autres grandes plateformes de trafic de drogue sur le Dark Web (parmi lesquelles Agora, Evolution et Andromeda) n'ont pas été affectées par l'opération, alors même que Silk Road, contrairement à son rival Evolution, ne proposait pas d'armes ou d'assassinats commandités^[13]. Avant la fermeture de Silk Road 2.0, la plateforme Agora comptait déjà davantage d'annonces que Silk Road, et il était également attendu d'Evolution qu'elle dépasse Silk Road en volume^[5],[14]. De fait, Agora et Evolution sont considérées comme des opérations plus professionnalisées que Silk Road, protégées par des systèmes de sécurité plus avancés ; ce qui a amené à penser que l'arrestation du directeur présumé de Silk Road est en grande partie due à une série d'erreurs et d'imprudences de sa part^{[15],[13],[16]}.

Le chiffre initial de 414 sites du darknet, qui a été largement diffusé à l'échelle internationale et est apparu dans de nombreux titres de journaux^{[17],[18],[19]}, s'est ensuite vu ajuster sans explication à « plus de 50 »^{[15],[20],[21]}. Il est supposé que le vrai nombre de sites est plus proche de 27, vers lesquels les 414 adresses .onion envoient une redirection^{[16],[20],[22],[23]}. Le journaliste australien Nik Cubrilovic a affirmé avoir découvert 276 sites saisis, sur la base d'une analyse de tous les sites .onion, parmi lesquels 153 étaient des sites d'escroquerie, de clonage ou d'hameçonnage^[24].

Faille 0-day de Tor

Le nombre de sites initialement annoncé comme infiltrés a conduit à la spéculation qu'une vulnérabilité non-documentée (dite zero-day) du réseau Tor avait été trouvée et exploitée par les agences participant à l'opération. Cette possibilité a été minimisée par Andrew Lewman, un représentant du projet Tor, qui suggère quant à lui comme plus probable l'utilisation de moyens plus traditionnels tels que le traçage de Bitcoins^{[17],[15],[25]}. Lewman a suggéré que de telles affirmations étaient « exagérées » et que les autorités voulaient simplement donner l'impression d'avoir « craqué » Tor afin de dissuader d'autres acteurs d'utiliser le réseau à des fins criminelles. Un représentant d'Europol, interrogé sur la méthode utilisée, a déclaré : « C'est quelque chose que nous voulons garder pour nous. La façon dont nous faisons cela, nous ne pouvons pas la partager avec le monde entier, car nous voulons le faire encore et encore et encore. »^[5].

Il a été avancé que l'anonymat de certains services du darknet aurait pu être levé si les forces de l'ordre avaient reproduit le résultat des recherches menées par le CERT de l'Université Carnegie-Mellon avant l'application du correctif fourni le 30 juillet par le réseau Tor^[26]  : si suffisamment de nœuds de relais étaient simultanément victimes d'une attaque par déni de service (DDoS), cela forcerait le trafic à passer par les nœuds attaquants, un attaquant pouvant ensuite effectuer des attaques de corrélation de trafic à l'aide d'une attaque Sybil. Les journaux publiés par l'administrateur de Doxbin ont partiellement soutenu cette théorie^[27].

Références

1. Misty Blowers, Evolution of Cyber Technologies and Operations to 2035, Dordrecht, Springer, 2015, 133 p. (ISBN 9783319235844)
2. Peggy E. Chaudhry, Handbook of Research on Counterfeiting and Illicit Trade, Cheltenham, Edward Elgar Publishing, 2017, 182, 375 (ISBN 9781785366444)
3. (en) Janine Kremling et Amanda M. Sharp Parker, Cyberspace, Cybersecurity, and Cybercrime, SAGE Publications, 5 septembre 2017 (ISBN 9781506392288, lire en ligne)
4. (en) Michael Adorjan et Rose Ricciardelli, Engaging with Ethics in International Criminological Research, Routledge, 10 juin 2016 (ISBN 9781317382874, lire en ligne)
5. Greenberg, « Global Web Crackdown Arrests 17, Seizes Hundreds Of Dark Net Domains », Wired, 7 novembre 2014
6. Greenberg, « Not Just Silk Road 2: Feds Seize Two Other Drug Markets and Counting », Wired, 6 novembre 2014
7. Tom Fox-Brewster, « Silk Road 2.0 targeted in 'Operation Onymous' dark-web takedown », The Guardian, 7 novembre 2014 (consulté le 7 novembre 2014)
8. Robert McMillan, « Alleged Silk Road 2 Mastermind Worked for Ex-Googler's Secret Startup », Wired, 10 novembre 2014 (consulté le 12 novembre 2014)
9. James Cook, « There's Already A Silk Road 3.0 », UK Business Insider, 7 novembre 2014 (consulté le 8 novembre 2014)
10. « Global Action Against Dark Markets On Tor Network », Europol, 7 novembre 2014 (consulté le 9 novembre 2014)
11. Kate Vinton, « So Far Feds Have Only Confirmed Seizing 27 "Dark Market" Sites In Operation Onymous », Forbes, 7 novembre 2014 (consulté le 8 novembre 2014)
12. James Cook, « More Details Emerge Of How Police Shut Down Over 400 Deep Web Marketplaces As Part Of 'Operation Onymous' », UK Business Insider, 7 novembre 2014 (consulté le 9 novembre 2014)
13. Andy Greenberg, « The Dark Web Gets Darker With Rise of the 'Evolution' Drug Market », Wired, 18 septembre 2014 (consulté le 7 novembre 2014)
14. Christopher Ingraham, « The FBI promises a perpetual, futile drug war as it shuts down Silk Road 2.0 », Washington Post, 6 novembre 2014 (consulté le 7 novembre 2014)
15. Patrick Howell O'Neill, « The truth behind Tor's confidence crisis », The Daily Dot, 7 novembre 2014 (consulté le 10 novembre 2014)
16. Alex Hern, « Operation Onymous may have exposed flaws in Tor, developers reveal », The Guardian, 11 novembre 2014 (consulté le 12 novembre 2014)
17. Wakefield, « Huge raid to shut down 400-plus dark net sites », BBC, 7 novembre 2014 (consulté le 10 novembre 2014)
18. Alistair Charlton, « Operation Onymous: Six Britons Arrested as Police Bust 400 Drug Dealing Dark Websites », International Business Times, 7 novembre 2014 (consulté le 10 novembre 2014)
19. Martyn Williams, « Biggest ever Tor raid hits 410 underground sites; 17 arrested », PC World, 7 novembre 2014 (consulté le 10 novembre 2014)
20. Patrick Howell O'Neill, « Just how many Dark Net sites did cops really shut down? », The Daily Dot, 7 novembre 2014 (consulté le 10 novembre 2014)
21. Benjamin Weiser and Doreen Carvajal, « International Raids Target Sites Selling Contraband on the 'Dark Web' », New York Times, 7 novembre 2014 (consulté le 10 novembre 2014)
22. Dave Lee, « Dark net experts trade theories on 'de-cloaking' after raids », BBC, 10 novembre 2014 (consulté le 11 novembre 2014)
23. phobos, « Thoughts and Concerns about Operation Onymous », Tor blogs, 9 novembre 2014 (consulté le 12 novembre 2014)
24. Nik Cubrilovic, « Large Number of Tor Hidden Sites Seized by the FBI in Operation Onymous were Clone or Scam Sites », 17 novembre 2014 (consulté le 14 janvier 2015)
25. Shawn Knight, « Operation Onymous seizes hundreds of darknet sites, 17 arrested globally », Techspot, 7 novembre 2014 (consulté le 8 novembre 2014)
26. « Did the FBI Break Tor? », 8 décembre 2014 (consulté le 9 août 2015)
27. « Did Feds Use DDoS Attacks to Deanonymize Darknet Sites Seized in Operation Onymous? », 11 novembre 2014 (consulté le 9 août 2015)

Liens externes

• United States of America – v. – Blake Benthall a/k/a "Defcon," Defendant. – sealed complaint
• Operator Of "Silk Road 2.0" Website Charged In Manhattan Federal Court, US Department of Justice press release
• Dozens of Online "Dark Markets" Seized Pursuant to Forfeiture Complaint Filed in Manhattan Federal Court in Conjunction with the Arrest of the Operator of Silk Road 2.0, US Department of Justice press release
• Tag Archives: Operation Onymous , DeepDotWeb

• Portail de la sécurité informatique