Cet article a initialement été publié par Motherboard Allemagne et traduit par Motherboard France.
En octobre dernier, le hacker norvégien Einar Otto Stangvik a découvert le plus grand portail pédopornographique du dark web, un forum baptisé Childs Play. Un fait d'armes décroché à force de patience, de créativité et d'astuce technique.
Et puis, en janvier dernier, Stangvik et ses collègues du tabloïd VG
ont compris que ce site, fréquenté par plus d'un million d'internautes,
était administré par la police australienne.
Pendant onze mois, les enquêteurs d'une équipe spéciale ont surveillé
le site de l'intérieur et récolté des informations sur les coupables,
les victimes, les utilisateurs. Childs Play a été désactivé il y a
quelques semaines seulement.
Ce n'était pas la première fois que
Stangvik, un ancien expert en cyber-sécurité employé par de nombreuses
entreprises norvégiennes, creusait dans le dark web pour traquer les
producteurs et consommateurs de pédopornographie. En 2015, il avait déjà
utilisé un programme qu'il avait développé lui-même pour identifier 95 000 internautes coupables de téléchargement d'images et vidéos illégales.
Nous avons rencontré Stangvik pour lui poser toutes les questions qui
nous trottaient dans la tête : comment traquer les pédophiles sur le
dark web ? Les profondeurs du réseau sont elles vraiment pires que
l'Internet "de surface" en terme de pédopornographie ? Laisser la police
administrer un site criminel pendant onze mois, est-ce vraiment légal ?
Le hacker Einar Otto Stangvik. Photo : Private
MOTHERBOARD : Vous êtes parvenu à révéler l'existence d'une énorme
plate-forme pédopornographique sur le dark web. Comment avez-vous fait ?
Einar Otto Stangvik : Nous avons passé un mois à réfléchir à un
moyen d'attaquer le site. Nous ne voulions pas nous contenter des
patrons de Childs Play, nous voulions démasquer tous ses utilisateurs :
les producteurs de vidéos, par exemple, et les gens qui commettent des
abus sexuels. Ensuite, j'ai téléchargé tout le texte disponible sur la
plateforme pour l'analyser, mais ça n'a rien donné. À la fin de l'année
2016, nous avons dû mettre notre travail en pause. Nous n'avions trouvé
aucun moyen de hacker le site. Comment les choses ont-elles évolué après ça ? C'est
arrivé au début du mois de janvier dernier. Je suis arrivé au boulot et
j'ai compris que je devais essayer une approche complètement
différente. Du coup, j'ai passé la journée à barboter dans le code
source de MyBB, le logiciel sur lequel repose Childs Play. C'est à ce
moment-là que je suis tombé sur la fonctionnalité qui permet d'uploader
une photo de profil sur le forum. J'ai été abasourdi en découvrant que
Tor ne la protégeait pas.
Pourquoi cette découverte vous a-t-elle surpris à ce point ?
Parce que ça m'a permis d'utiliser une technique que tout le monde
connaît. Pour cracker le logiciel d'un site, vous devez trouver un moyen
d'y uploader vos propres fichiers ou d'y injecter votre code. En gros,
vous devez forcer le serveur à se connecter au monde extérieur,
c'est-à-dire à dévoiler ses points faibles. La plupart des logiciels ne
permettent pas ça, parce qu'attaquer en serveur en passant par les
fichiers locaux est considéré comme une technique de base. Je
m'attendais à ce qu'un site du dark web, surtout un site qui diffuse du
contenu illégal, ait bloqué tout possibilité de connexion externe. Ou au
moins qu'il utilise Tor pour ce genre de connexion. Uploader une image était donc la méthode bateau par excellence, mais ça a marché ?
J'ai eu du mal à le croire. J'aurais juré qu'il n'y avait pas de
méthode plus débile pour forcer un serveur à révéler son adresse IP.
J'ai quand même essayé. À ma grande surprise, j'ai reçu une IP.
Vous avez découvert ce point faible en janvier 2017. À ce moment-là, la
police gérait le serveur depuis trois mois. L'erreur était-elle
d'origine ou avait-elle été introduite par ces nouveaux administrateurs ?
Difficile à dire. Quand j'ai trouvé cette faille, je n'avais pas
la moindre idée que la police administrait le site. Je dois dire que
j'ai été surprise, mais pas tant que ça. Des erreurs de ce genre se
produisent tout le temps.
En réalité, j'ai utilisé cette méthode pour débusquer deux autres sites
pédopornographiques du dark web. L'un d'entre eux était Elysium, sur
lequel la police allemande s'est lancée en juin dernier. J'ai découvert
leur adresse IP à peu près au même moment que celle de Childs Play. Est-ce que vous les avez communiquées aux autorités ? Non. Une semaine après, j'ai vu que quelqu'un que je connaissais pas avait posté l'adresse IP d'Elysium sur Twitter.
Le
forum Childs Play se procure un fichier depuis un site externe et, ce
faisant, dévoile son adresse IP. Image : Mathias Jørgensen/VG
Revenons-en à Childs Play. Comment avez-vous procédé ? Les adresses IP
peuvent être trompeuses sur le dark web, les sites font tout leur
possible pour dissimuler leur lieu d'hébergement. En effet. Peu de
temps après, je me suis rendu compte que l'adresse IP de Childs Play
correspondait à un serveur détenu par Digital Pacific, une entreprise
basée à Sidney. J'ai tenté trois méthodes pour savoir si j'avais obtenu
une adresse IP réelle et pas seulement un noeud de sortie Tor, un VPN ou
un serveur proxy. Vous venez d'égrainer les trois manières
principales de cacher son adresse IP pour parcourir le web en tout
anonymat : le réseau Tor, qui entraîne les communication dans un
maillage de noeuds, un réseau virtuel privé (virtual private network,
VPN), qui dissimule la véritable adresse IP dans un réseau virtuel, et
un serveur proxy, qui sert de point d'intersection supplémentaire entre
deux serveurs. Tout à fait. Je devais m'assurer qu'aucune de ces
méthodes n'avait été utilisée. Pour le premier test, j'ai loué mon
propre serveur chez Digital Pacific. Ensuite, j'ai mesuré le temps qu'il
fallait à mon serveur pour se connecter au serveur de Childs Play via
Digital Pacific. Charger un site en passant par le réseau Tor prend au
moins 250 millièmes de seconde. C'est le temps nécessaire pour que votre
requête atteigne le serveur et que celui-ci affiche le contenu du site
dans votre navigateur. C'est long, parce que le trafic qui passe par le
réseau Tor doit traverser plusieurs noeuds pour dissimuler l'identité de
l'émetteur et du récepteur. Le temps de connexion que j'ai mesuré entre
mon serveur et celui de Childs Play était inférieur à ça, ce qui
signifiait que les deux machines étaient proches l'une de l'autre. C'est
ce qui m'a permis de conclure que l'adresse IP que j'avais obtenue
n'était pas un noeud Tor.
Et pour la deuxième méthode ?
Là, j'ai dû vérifier que l'IP n'appartenait pas à un proxy ou un VPN,
ou si le serveur en question n'était pas juste sous-loué à quelqu'un
d'autre. Pour ça, j'ai analysé les valeurs TTL ("Time To Live", ndlr),
c'est-à-dire le nombre d'étapes que traverse un paquet de données avant
d'arriver à destination. Dans ce cas, mes mesures ont révélé que les
données passaient tout au plus par deux étapes avant d'arriver à
destination, ou même qu'elles passaient directement d'un serveur à
l'autre.
Ceci dit, c'est la troisième et dernière étape qui a
été la plus révélatrice. Le but était d'analyser la taille des paquets
de données. J'ai constaté que le serveur de Childs Play divisait les
plus gros paquets en petits fragments, ce qui indique bien que j'avais à
faire à unne connexion locale et pas à un VPN ou un proxy. Dès lors,
j'ai su que j'avais la vraie adresse IP du site dans les mains.
Certains individus pensent que le dark web est un havre de paix pour
pédocriminels. Vous avez passé des années à étudier ce microcosme, tant
sur le dark web que sur le réseau surfacique. Quel est votre avis sur la
question ? Le dark net en général et Tor en particulier offrent en
effet un bon point de rendez-vous pour ces gens. Là, ils sont 10 ou 100
fois mieux cachés que sur l'Internet normal. Tout ce qu'ils ont à
faire, c'est télécharger le navigateur Tor. Par contre, le matériel
pédopornogrpahique et ceux qui le produisent en planifiant des abus ne
sont pas endémiques du dark web. Ils sont là sur l'Internet normal, en
masse. Et même là, la police a du mal à les attraper. Mes précédents travaux sur les personnes qui téléchargent des images pédophiles ont révélé que la demande est énorme sur le réseau classique.
Où trouve-t-on ce genre de contenus sur l'Internet "normal" ?
Partout. C'est ça le plus triste. Sur YouTube, Pastebin, dans des
groupes Facebook, dans des discussions sur Reddit, sur Twitter. Tout ça
est à une requête Google de vous. En faisant mes recherches, j'ai
découvert que la plupart des consommateurs d'images pédopornographiques
utilisaient des moteurs de recherche pour trouver leur matériel. Ça
s'applique au moins à ceux qui se "contentent" d'être consommateurs,
c'est-à-dire qui ne produisent ou ne distribuent pas. Malheureusement,
ces gens échappent souvent aux radars des enquêteurs. Ils sont juste
trop nombreux. À chaque instant, des dizaines de milliers d'entre eux
écument le web à la recherche d'images illégales. Il est peu probable
qu'ils se fassent attraper à cause d'un simple téléchargement.
Si l'Internet normal est relativement sûr pour eux, pourquoi ces gens
prennent-ils la peine de se rendre sur des sites comme Childs Play ou
Elysium ? À cause de l'offre. Les forums du dark web agrègent
beaucoup plus de contenu en un point précis. Ils sont aussi plus
structurés, plus faciles à naviguer. Il y a tout de même une différence
en terme de sécurité quand on passe du clear au dark web : quand un
internaute sans formation en sécurité opérationnelle se rend sur le dark
web, il pénètre automatiquement dans un cercle qui a de bonnes chances
d'être surveillé par la police. En d'autre termes, il quitte un endroit
relativement sûr pour un endroit sur écoute et peut-être même déjà
infiltré.
Tor pourrait donc être considéré comme un accessoire pour criminels, mais aussi comme un outil d'enquête idéal ?
On pourrait tout à fait dire ça. Par contre, comme je l'ai déjà dit,
cela ne s'applique qu'aux gens qui n'ont presque aucun skill
informatique, comme ceux qui utilisent leurs vieilles adresses mail ou
pseudo pour créer des comptes sur des sites du dark web.
Ceux
qui sont plus au fait des bonnes pratiques de protection profitent plus
de Tor, mais même eux finissent dans le viseur de la police. La plupart
des gens finissent par faire une erreur d'inattention qui aboutit à leur
identification. C'est pour cette raison que les anciens administrateurs
de Childs Play sont actuellement derrière les barreaux. Tous ces sites
sont condamnés à disparaître à l'instant de leur conception. Ce n'est
qu'une question de temps, quelqu'un finira par découvrir une nouvelle
technique d'investigation ou une faille qui fera tomber la forteresse,
aussi solide soit-elle. Et voilà, c'est tout, vous êtes cuit. Comment avez-vous réagi quand vous avez découvert que la police australienne administrait Childs Play ?
J'ai eu de mal à accepter que ça puisse être vrai. Surtout quand j'ai
découvert que la police elle-même avait distribué du matériel
pédopornographique pour protéger leur couverture. D'un point de vue
technique, par contre, je sais qu'il n'y a pas vraiment d'autre moyen
d'effectuer une enquête efficace dans ce genre de domaine.
La police a géré le site pendant onze mois. Ils répondent aux critiques
en affirmant qu'ils avaient besoin de temps pour traquer les
perpétrateurs. En 2015, vous avez utilisé une autre méthode pour
démasquer des dizaines de milliers d'internautes qui avaient téléchargé
ce genre d'images. Que pensez-vous de la durée de l'enquête ? Tout
dépend du nombre de criminels qu'ils ont pu mettre derrière les barreaux
grâce à leur travail. Si c'est dix, je dirais que l'opération a été un
échec. Personne ne peut oublier que tout ceci a fait beaucoup de dégâts :
des images ont été partagées, de nouvelles productions ont été
diffusées, des criminels ont planifié des viols d'enfants. Et si la police a attrapé 100 ou 200 personnes ?
Ce serait un résultat formidable. Elle pourrait aussi se retrouver avec
un bilan médiocre, quelque part entre 10 et 100 arrestation, et
prétendre qu'ils ont eu raison d'utiliser leur méthode, que cela leur a
permis de peaufiner leurs techniques d'enquête, que leur prochaine
opération sera plus efficace. Il est très difficile de faire le procès
d'une telle enquête en quelques mots.
Nous ne saurons jamais si
la police avait assez d'information pour justifier des arrestations ou
des poursuites après cinq mois ou même deux semaines. Nous aurions
besoin d'une enquête menée par une organisation indépendante et, dans
l'idéal, internationale.
Je ne dis pas ça pour critiquer la
police. Ce genre d'évaluation pourrait lui permettre de valider, voire
d'améliorer ses méthodes. Par contre, je crains que ça n'arrive jamais.
La police n'aime pas révéler son jeu.
Obtenir le lien
Facebook
X
Pinterest
E-mail
Autres applications
Commentaires
Posts les plus consultés de ce blog
PRISM (programme de surveillance) Logo de PRISM. PRISM , également appelé US-984XN 1 , est un programme américain de surveillance électronique par la collecte de renseignements à partir d' Internet et d'autres fournisseurs de services électroniques 2 , 3 , 4 , note 1 . Ce programme classé , relevant de la National Security Agency (NSA), prévoit le ciblage de personnes vivant hors des États-Unis 10 . PRISM est supervisé par la United States Foreign Intelligence Surveillance Court (FISC) conformément au FISA Amendments Act of 2008 (FISA) 11 . Edward Snowden , ex-consultant de la NSA, a dénoncé ce programme ; les périodiques The Guardian et The Washington Post ont signalé son existence le 6 juin 2013 . PRISM est utilisé en conjonction avec le programme Upstream par les autorités de sécurité américaines. ...
Le mal caché partie one Préface Ce document est consacré aux personnes connues et inconnues qui ont été poussées au suicide ou ont commis des actes de violence à la suite être harcelés par des groupes de vigilance organisés. Mon objectif est de rendre leurs opérations aussi visibles que possible. Ce rapport est basé sur un livre électronique en ligne situé à l'adresse www.rich-essence.com. Il existe de nombreux autres groupes de traque organisée sites disponibles, certains sont internationaux et multilingues. Ils peuvent être facilement trouvés en utilisant le moteur de recherche Yahoo &. en tapant des phrases telles que "harcèlement organisé", "harcèlement par un gang" ou "harcèlement par un vigile". Vous trouverez plusieurs sites qui offrira une mine d'informations sur le sujet. Tout au long de ce document, je présenterai des preuves de ce que je crois être des activités hautement organisées, secrètes et financées par l'État de...
LA CATALOGNE SOUS L'ATTAQUE PSYCHOTRONIQUE D'ISRAËL SUPERVISÉE PAR LE PROF. HAIM SOMPOLINKSKY - LE PÉNAL ULTIME ARTICLE EN DÉCEMBRE 2017 NUMÉRO DU MAGAZINE SOCIALIST FACTOR (LUCKNOW ET LONDRES) LA CATALOGNE SOUS L'ATTAQUE PSYCHOTRONIQUE D'ISRAËL SUPERVISÉE PAR LE PROF. HAIM SOMPOLINKSKY - LE PÉNAL ULTIME Écrit le 24 novembre 2017 24173919_2024891617528300_6111258181957036873_o 24273473_2024891620861633_3785762325529848832_o Cela devrait être sur toutes les nouvelles dans le monde. À l'automne 2017, Israël a attaqué l'Espagne avec des armes psychotroniques israéliennes. La blogosphère espagnole a largement rendu compte de la nature de l'attaque, des noms des agresseurs et même du nom du dispositif psychotronique utilisé. L'attaque a été définie comme «tester la technologie de contrôle mental sur de grandes masses en Catalogne». Le principal attaquant a été nommé Haim Sompolinsky, un neuroscientifique israélien bien connu. Le dispositif psychotronique uti...
Commentaires
Enregistrer un commentaire