Les miroirs dans le Dark Web 2/2

Dans la 1ère partie de l’article nous avons abordé les points suivants :

  • Qu’est-ce qu’un miroir ? Pourquoi créer des sites-miroirs ?
  • Comment repérer les sites-miroirs ?
  • Quelle est la finalité des miroirs ?
  • Zoom sur l’évolution des sites-miroirs

 

Plusieurs hypothèses possibles

L’hypothèse la plus probable est celle d’une usurpation : les miroirs auraient été créés par une personne extérieure aux sites d’origine. En créant des copies à son compte, l’usurpateur peut ainsi récupérer des identifiants et mots de passe d’utilisateurs qui pensent se connecter au site authentique. Dans le cas d’une usurpation de site marchand, l’usurpateur peut même recevoir le paiement de transactions effectuées sur son site-leurre.

En 2019, une personne qui avait créé plus de 800 leurres s’est ainsi vantée d’avoir gagné plus de 200 bitcoins (environ 1.5 million d’euros à l’époque) avec cette technique. Cette personne a révélé son escroquerie sur la page d’accueil de ses sites-leurres avant de disparaître.

"You've been scammed"
Une grande partie des miroirs présents sur le Dark web sont donc très probablement le fait d’un ou plusieurs imposteurs. Cette prolifération des miroirs-leurres est d’ailleurs une préoccupation pour les divers annuaires du Dark web. En effet, pour être visibles et accessibles, ces leurres doivent être référencés sur les sites qui recensent les domaines du Dark web. Certains annuaires tentent donc de mettre en place des stratégies pour identifier et cesser de référencer les sites piégés. Les uns se basent sur leur intuition, d’autres se basent sur un retour d’utilisateurs, par le biais de votes.

Exemple d'évaluation sur la base de l'intuition
Exemple d'évaluation sur la base de votes

Vrai ou fausse Scam List of Tor ?

En novembre 2018, un internaute victime à six reprises d’escroqueries sur des miroirs-leurres a même entrepris de créer une liste noire de sites usurpateurs. Ce site, nommé Scam List Of Tor, permet aux utilisateurs de signaler les sites suspects (« Submit a scam site »). Les utilisateurs peuvent éventuellement disculper les sites inscrits à tort sur cette liste noire (« Report false listing »).

Scam list Of Tor - Site original

 

 

Cette initiative n’est pas passée inaperçue auprès des créateurs de sites piégés. Un an plus tard, le premier miroir malicieux de Scam List Of Tor était créé. Comme le créateur du site original le signale sur sa page, les escrocs ont imité son site mais ont rajouté une section supplémentaire : les sites vérifiés. Cette section, censée désigner des sites de confiance, redirige les utilisateurs vers des leurres.

Scam List Of Tor - Miroir leurre

Depuis cette date, le site a été répliqué à 1 440 exemplaires, tous malicieux. Comble du raffinement, le ou les créateurs de ces « pièges à touristes » du Dark Web ont cette fois pris la peine de faire en sorte qu’une grande partie de leurs sites se référencent entre eux. Ils donnent ainsi l’illusion d’une plus grande crédibilité. Un utilisateur qui voudrait vérifier l’authenticité du site pourrait en effet être tenté de faire un contrôle de cohérence entre plusieurs versions de Scam List Of Tor. Comme les leurres se référencent les uns les autres, l’utilisateur est pris au piège, comme dans une toile d’araignée. En quelque sorte, nous pouvons parler ici d’une « web of trust » inversée.

Les réseaux de faux Scam List of Tor

Le graphe suivant illustre à la fois la ténacité des créateurs des miroirs malicieux (les cercles rouges) et le poids relatif du site original (le triangle bleu). Nous observons deux réseaux très interconnectés et trois réseaux moins fournis. Sur le plus gros réseau, quatre nœuds font office de référence. En effet, leur taille est proportionnelle au nombre de liens qui dirigent vers ces sites.

Nous voyons ici l’ironie qui sévit sur le Dark Web. Non seulement une grande partie de sa masse totale est constituée de sites qui escroquent des personnes qui pensent pouvoir effectuer des opérations frauduleuses… en toute confiance, mais les sites censés dénoncer les tromperies sont eux aussi usurpés. Ceci ne doit toutefois pas occulter le caractère tout à fait réel et sérieux d’une autre partie du Dark Web. A côté de ces miroirs, il reste en effet un volume non négligeable de plusieurs milliers de sites, dont nous ferons prochainement un tour d’horizon.

Miroirs-leurres interconnectés