Dossiers

Faire la lumière sur le Darkweb

Auteur : le commandant Céline Morin - publié le
Temps de lecture: ≃6 min.
© M.Alexandre
© Tous droits réservés

Cette fraction immergée de l'Internet est un véritable supermarché du crime. Dans les profondeurs anonymes de la Toile, tous les objets, produits, services et activités illicites s'achètent et se vendent en monnaie virtuelle. Dans cet univers crypté, les cyberenquêteurs de la gendarmerie s'emploient à démêler l'écheveau.

Stupéfiants, médicaments, armes, faux documents, contrefaçons, numéros ou copies de cartes bancaires, propagande idéologique en tous genres ou encore services de type mafieux… tout s'achète et tout se vend sur le Darkweb. On peut y croiser, dans un total anonymat, des trafiquants, des receleurs, des pédophiles, des djihadistes, des activistes, des adeptes de la théorie du complot… Le Darkweb fonctionne notamment sous la forme de « markets », véritables supermarchés criminels. « Les gens imaginent qu'ils sont totalement anonymisés. Ils annoncent explicitement ce qu'ils vendent ou recherchent, sans plus aucune réserve », confie le chef d'escadron Laurent Lesobre, chef du Département des activités illicites sur Internet (DAII) du C3N.

Si cet Internet parallèle n'a pas le monopole de la cybercriminalité, le protocole d'anonymisation qui le régit y facilite son enracinement et son expansion rapide. Apparu avec la banalisation des moyens de masquage, il avait pour vocation de protéger la vie privée et l'intimité d'activités licites mais souhaitant rester discrètes. Des dissidents politiques dans les dictatures, des journalistes soucieux du secret de leurs sources ou des sociétés y ont, par exemple, recours pour protéger leurs échanges d'éventuelles attaques de hackers ou de services de renseignement étrangers. Mais les criminels ont très vite saisi cette nouvelle opportunité de développer leurs activités dans une quasi tranquillité et se sont approprié cette nébuleuse pour y créer une filière parallèle de la criminalité physique traditionnelle.

Un monde parallèle crypté

Réseau dans le réseau, le Darkweb permet à ses utilisateurs une navigation anonyme et ne conserve lui-même aucune donnée. Il s'appuie pour cela sur des protocoles de communication, tels que Tor, qui font transiter les flux de données par plusieurs nœuds, dont la fonction est de masquer l'adresse I.P., c’est-à-dire l'identité informatique du surfeur. Seul le dernier nœud est identifiable, sans qu'il soit toutefois possible de le relier à l'adresse I.P. d'origine, sauf à remonter chaque nœud l'un après l'autre… un vrai casse-tête pour les enquêteurs, d'autant que les nœuds sont disséminés dans le monde entier et que les cheminements sont aléatoires, tout comme les adresses des sites.

Pister la monnaie virtuelle

Toutes les transactions sur le Darknet se font par ailleurs en bitcoin (Btc), une monnaie virtuelle totalement publique, également utilisée sur le Clearweb. Même si à l'origine les mouvements de bitcoins sont publics et accessibles à tous, il existe « des mixeurs », c'est-à-dire des portefeuilles intermédiaires, qui permettent là encore de perdre la trace entre l'acheteur et le vendeur, sur le principe identique à celui des nœuds anonymisant la navigation. Il est donc difficile d'identifier l'origine du paiement ainsi que le volume des transactions. « À l'instar d'une véritable devise, le bitcoin est coté. Aujourd'hui, il fluctue entre 500 à 600 euros. Quand on parvient, dans le cadre d'une enquête, à identifier un portefeuille Btc, on peut demander une saisie au titre des avoirs criminels », explique l'officier. Ainsi, début 2016, dans l'Ouest de la France, lors d'une enquête classique portant sur un trafic de cannabis, les enquêteurs locaux découvrent, à l'occasion des perquisitions, des serveurs informatiques et une évocation de bitcoins. Cosaisi à la demande de l'unité, le C3N se déplace, identifie le portefeuille et procède à la saisie confiscation des bitcoins. une affaire qui illustre par ailleurs clairement le caractère omniprésent de la cybercriminalité.

C3N et S.R. Jirs contre cybercriminels

« Mon département travaille sur le Darkweb depuis près de deux ans. Les S.R. Jirs, récemment dotées de groupes cybercriminalité, peuvent également désormais se saisir de ce phénomène en pleine expansion. C'est un vecteur de criminalité très important qui est appelé à évoluer et que nous suivons très sérieusement. Pour cela, il faut se maintenir au même niveau de compétence que les délinquants », explique le chef du DAII, dont les onze enquêteurs se répartissent en deux sections, respectivement consacrées aux atteintes aux personnes (apologie du terrorisme, pédophilie, usurpation d'identité) et aux atteintes aux biens (apologie du terrorisme, stupéfiants, armes, médicaments, faux documents et escroqueries), sur le Clearwebet le Darkweb. Comme tous les OPJ du C3N, ils ont une compétence nationale. Ils peuvent se saisir d'initiative, être en cosaisine ou débuter une enquête à la suite d'un dépôt de plainte, et mener leurs dossiers de bout en bout, de la constatation jusqu'aux interpellations et aux auditions.

« Même si c'est un domaine complexe, nous sommes loin d'être démunis et nous réalisons de belles affaires en lien avec le Darkweb. Chaque enquêteur a en moyenne entre 5 et 10 dossiers en cours. La vraie difficulté est de retrouver les identités des délinquants. Mais nous y parvenons, précise le CEN Lesobre, donnant en exemple plusieurs interpellations récentes d'individus dans le cadre de l'apologie du terrorisme. Les infractions sont par ailleurs très volatiles. Cela demande donc une certaine autonomie pour enquêter en temps réel dès lors que l'on constate l'infraction. Concrètement, ce sont des enquêtes beaucoup plus chronophages que sur le Clearweb.»

Traque sur le Web

« Pour déceler les infractions, nous assurons une veille et nous étudions les signalements qui nous parviennent. Bien entendu, il n'existe pas de moteur de recherche performant sur le Darkweb, puisque ce n'est justement pas le but. Nous conduisons donc de vraies investigations, souligne l'officier. Nous essayons de suivre prioritairement les markets français, et parfois nous parvenons à remonter de market en market. La problématique est d'y pénétrer, car de plus en plus souvent il faut s'acquitter d'un droit d'entrée, ce qui exige d'investiguer sous pseudonyme.» Or, en France, cette pratique, réservée aux enquêteurs formés et spécifiquement habilités par le procureur général, n'est autorisée que pour certaines enquêtes répondant à des critères bien définis. « Pour des raisons légales, nous ne pouvons investiguer sous pseudonyme que pour certaines infractions, telles que les trafics de stupéfiants ou de médicaments et pour les infractions contre les mineurs, en matière de proxénétisme ou de traite des êtres humains.

Pour toutes les autres infractions expressément visées, il faut le critère préalable de bande organisée » Et de conclure : « Nous souhaiterions que ce critère soit abandonné et que cette capacité soit étendue aux atteintes aux systèmes de traitement automatisé de données, aux escroqueries, aux faux documents et à la contrefaçon de cartes bancaires, ce qui nous permettrait de débuter de nombreuses enquêtes d'initiative. Heureusement, les textes évoluent progressivement. En août dernier, la catégorie trafic d'espèces menacées a d'ailleurs été ajoutée. »