Cyber renseignement sur le réseau Tor : quand les apparences sont trompeuses...

Cyber renseignement sur le réseau Tor : quand les apparences sont trompeuses

Dans le cadre de la préparation d’un exercice basé sur un cas concret, le profil d’un vendeur opérant sur deux dark markets différents a été identifié.

Exemples d’annonces publiées par le vendeur

Premières recherches

Les premières action de cyber renseignement effectuées à partir de l’alias du vendeur, aussi bien via l’exploitation de moteurs de recherches que de scripts dédiés, ont fait apparaître qu’il n’était que très peu utilisé et jamais dans le cadre d’usage et/ou de vente de stupéfiants.

La consultation des annonces a montré que les produits proposés par ce vendeur étaient systématiquement du même type : de la weed de différentes variétés, que le vendeur précise avoir fait pousser en intérieur. Ce point implique qu’au vu du nombre d’annonces, il doit disposer d’une surface non négligeable pour sa culture.

Aucun pivot n’ayant été possible à partir de l’alias du vendeur, c’est la clé PGP qu’il met à disposition sur les deux markets où il vend qui a été exploité. La technique utilisée est la même que celle présentée dans cet autre article.

Pivot effectué

Il a tout d’abord été possible de déterminer que ce vendeur n’utilisait une mais deux clés PGP différentes. L’exploitation de la première clé n’a permis d’obtenir aucune information exploitable, ce qui n’a pas été le cas pour la seconde.

Résultat obtenu à partir de la seconde clé PGP

Il apparaît suite à l’exploitation de cette clé PGP a commis ici une erreur dans la mesure où il y a rattaché une identité. L’exploitation de cette identité a permis d’établir le profil d’une personne semblant avoir un train de vie assez correct et être impliqué dans un sport en compétition dans lequel il semble performant. L’exploitation de diverses techniques de cyber renseignement a permis d’obtenir plusieurs adresses mails pour cette personne, un nombre important de profils sur les réseaux sociaux ainsi qu’un numéro de téléphone portable.

Bien qu’un nombre important d’informations ait pu être recueilli sur cette personne, aucune activité professionnelle la concernant n’a pu dans un premier temps être retrouvée. Si un mandat a bien pu être retrouvé en France, la structure correspondante a été fermée plusieurs années en arrière.

Un profil LinkedIn ayant pu être retrouvé pour la personne, son exploitation a fait apparaître un nouveau nom de société, non identifié jusqu’à maintenant. Les vérifications effectuées sur cette société ont permis d’identifier un pivot important dans le cadre de ce dossier.

Quand les apparences sont parfois trompeuses

En plus de la personne déjà identifiée grâce à sa clé PGP, plusieurs autres personnes exercent le contrôle de cette société. Si la consonnance des noms renvoie vers la même zone géographique, les personnes sont localisées dans différents pays européens : Royaume-Uni, Espagne et Allemagne notamment.

A ce stade de la démarche de cyber renseignement et au vu des éléments recueillis, se pose la question de la réelle implication de la personne initialement identifiée :

  • Est-elle réellement et directement impliquée dans la revente de stupéfiants via plusieurs dark markets ?
  • A-t-elle volontairement et contre rémunération servi d’homme de paille pour la mise en place de cette structure ?
  • A-t-elle été victime d’une usurpation d’identité où ses papiers ont été utilisés à son insu pour créer la structure ?

D’autres hypothèses sont bien sûr plausibles mais seules des recherches plus poussées et pas uniquement dans le cyber-espace pourront espérer apporter une réponse.

Pour en savoir plus sur notre offre de cyber-renseignement, contactez-nous.

A lire également

Renseignement d’origine CYBER

Identification des besoins
Collecte des informations
Traitement des informations brutes
Analyse
Diffusion / action

Surveillance web

Réseaux sociaux, clear Web et dark web
Blogs et forums du clear Web
Forums et marketplace du dark web (Tor et I2P)
Messageries
Médias en ligne
Etc…