OSINT et dark web. Quand le réseau Tor n’est pas si obscur...

OSINT et dark web. Quand le réseau Tor n’est pas si obscur

Il existe des situations où le dark web (ici le réseau Tor) n’est pas si sombre. Il peut même permettre d’éclairer un dossier en effectuant un pivot qui n’aurait pas été possible autrement. L’OSINT sur le dark web peut, suivant le dossier à traiter, rapidement devenir incontournable.

Le point de départ

Pour illustrer ce point, il est possible de partir d’un classique dossier de contrefaçon. Dans ce dossier, une personne revend des produits contrefaits sur un ou plusieurs réseaux sociaux. Cette personne utilise soit le même alias soit un  alias proche mais toujours la même photo de profil. C’est ce dernier point qui permet de discriminer et mettre en lumière ses profils.

Une fois les profils recensés et leur contenu exploité, aucun pivot supplémentaire n’était possible, empêchant ainsi de répondre à la question posée. C’est dans ce genre de situation qu’il est important de se rappeler que compte tenu du thème du dossier, le réseau Tor pouvait être un potentiel excellent pivot.

 Le pivot

Les premières recherches, effectuées sur les moteurs de recherche « classiques » (Torch, Our Realm, Onion Search Engine etc.), n’ont retourné aucun résultat pertinent, voire même aucun résultat.

Ces recherches se sont donc poursuivies sur un site spécifique du réseau Tor, DarkNet Trust. Ce site regroupe des données issues d’un nombre sans cesse croissant de market places sur Tor et permet des recherches selon deux types d’input : les alias et les empreintes PGP.

Dans le cas de cet exemple, c’est la recherche par alias qui était pertinente et qui a donc été effectuée.

Alias retrouvé à partir du site mentionné

Il apparaît ici que l’alias recherché est bien utilisé sur une market place de Tor. L’élément permettant de formellement attribuer cet alias à la personne objet du dossier est la date de création du compte. Cette date est en effet identique à celle de plusieurs comptes utilisés par la personne sur le clear web.

L’intérêt de ce pivot n’est pas seulement qu’il permet d’acter que la personne vend sur Tor, mais également (et surtout) de disposer de la clé PGP qu’elle y utilise. En effet, sur Tor les escroqueries sont légion et un des moyen de s’en prémunir (loin d’être infaillible ceci dit) est de chiffrer les messages via PGP. L’immense majorité des market places sur Tor demande donc à ses utilisateurs d’inclure leur clé PGP (publique bien sûr, même si certains « champions » affichent fièrement leur clé privée…).

Toute médaille ayant son revers, qui dit techniques très utilisées par les escrocs dit également techniques pour les exploiter et en extraire des informations pertinentes et utiles. C’est d’ailleurs pour ça que les techniques d’OSINT applicables sur le dark web se sont fortement développées ces dernières années. Une de ces techniques, présentée dans cette vidéo, a ici été utilisée avec succès.

Les résultats

L’exploitation de cette clé PGP a permis d’obtenir plusieurs éléments pertinents.

Résultat obtenu à partir de la clé PGP

L’élément central obtenu ici est l’adresse mail de la personne qui a été exploitée dans un premier temps via le nouveau script proposé par Jake CREPS, Poastal.

Résultat du script exploité sur l’adresse mail

Il ressort ici que l’adresse mail semble n’être utilisée que pour l’envoi/réception de mails. Elle n’est en tout cas rattachée à aucun des réseaux sociaux couverts par le script.

L’exploitation de la clé PGP retrouvée a ensuite permis d’obtenir deux alias. Le premier de ces alias est assez classique et contient une faute d’orthographe caractéristique. Le second alias n’est pas à proprement parler un alias, il s’agit d’une identité réelle.

Une personne a bien été identifiée via des recherches effectuées sur différents réseaux sociaux à partir de l’identité retrouvée.  Parmi les informations retrouvées, figurent : ville et pays d’habitation, environnement familial et amical, opinions politiques, bars fréquentés etc.

Conclusion

Des recherches restent bien sûr à faire. Tout d’abord pour formellement attribuer à la personne objet des recherches les comptes de réseaux sociaux retrouvés. Ensuite pour identifier de nouveaux comptes à exploiter.

Il n’en reste pas moins que dans cet exemple, le dark Web aura permis un pivot impossible à faire autrement. Dans le monde des recherches cyber, une démarche d’OSINT sur le dark web est une source indispensable à ne surtout pas négliger.

Pour en savoir plus sur nos prestations sur le dark web : nous contacter.

Renseignement d’origine CYBER

Identification des besoins
Collecte des informations
Traitement des informations brutes
Analyse
Diffusion / action

Surveillance web

Réseaux sociaux, clear Web et dark web
Blogs et forums du clear Web
Forums et marketplace du dark web (Tor et I2P)
Messageries
Médias en ligne
Etc…