Mis à jour le mercredi 30 novembre 2016
  • 15 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

Ce cours existe en eBook.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Le Web profond

Connectez-vous ou inscrivez-vous pour bénéficier de toutes les fonctionnalités de ce cours !

Le Web profond, kézaco ?

Vous vous souvenez de l'extension .onion, qui permet une connexion chiffrée de bout en bout par le réseau Tor ? Comme je vous l'avais expliqué, les noms de domaine utilisant cette extension ne sont accessibles qu'en utilisant Tor, ce qui n'est pas aussi simple que de taper directement le nom de domaine du site voulu dans son navigateur préféré. En quelque sorte, il s'agit de sites web qui sont "cachés", car inaccessibles sans s'y connaître un peu (en ayant installé Tor). Ces sites web ne sont pas facilement accessibles, c'est pour cela que l'on désigne tous les sites utilisant l'extension .onion par le terme de Web profond (deep web en anglais).

Pourquoi tu nous parles de ça ? Avec le Web pas profond, on a déjà largement assez d'informations !

Si je vous parle de tout ça, c'est parce que le Web profond fait partie des fonctionnalités phares de Tor. Qui plus est, certains sites du web profond présentent un réel intérêt pour ce qui est de garantir votre vie privée. Pour illustrer tout cela, on va parler d'argent ! :)

Un exemple, avec des Bitcoins

Mais rassurez-vous, on ne va pas parler de vrais billets, on va se contenter d'argent virtuel. Et pour cela, quoi de mieux que LA crypto-monnaie de référence : le Bitcoin !

Cette monnaie est en quelque sorte un moyen de faire des paiements anonymes sur Internet car vous n'utilisez pas votre carte bancaire mais une adresse, qui ne correspond à rien qui puisse directement vous identifier.

Mais en cherchant un peu, il est parfaitement possible de remonter jusqu'à votre numéro de carte bancaire. En effet, lorsque vous voulez acheter quelque chose en Bitcoin, il faut tout d'abord changer de l'argent réel en Bitcoins. Et c'est de là que vient le problème, car pour faire cela, vous devez rentrer votre numéro de carte bancaire quelque part, en l'occurrence sur un site d'achat de Bitcoins. Et ce site peut garder une trace de toutes vos transactions ; c'est d'ailleurs ce qu'il fait le plus souvent, c'est plus facile pour faire les comptes ! 21

Ainsi, les Bitcoins achetés sur un site de change peuvent être tracés, et si après vous payez directement une autre adresse pour acheter quelque chose, le site s'en souviendra aussi. Résultat : si l'on veut vraiment savoir qui a payé pour ce que vous avez acheté, il suffira de demander gentiment au site qui vous a vendu des Bitcoins, et on pourra remonter jusqu'à vous.

Et si je passe par une autre valise Bitcoin, du coup c'est bon non ?

Hélas non, car le réseau Bitcoin garde une trace de toutes les transactions (pour faire les comptes, aussi) ! Du coup si vous utilisez une autre adresse Bitcoin, il suffira de voir ce qui s'est passé sur cette adresse Bitcoin (ce qui est très facile, des interfaces très bien faites existent !). On peut ainsi remonter jusqu'au site vous ayant vendu les Bitcoins, et rebelote : on vous retrouve en lui demandant quelques informations sur les Bitcoins en question.

Vous l'aurez compris, les transactions en Bitcoins ne sont pas vraiment anonymes. C'est particulièrement ennuyeux si vous avez une adresse Bitcoin publique (que vous publiez par exemple pour recevoir des dons), et que vous utilisez les Bitcoins reçus sur cette adresse pour acheter quelque chose. En effet, en étudiant l'historique des transactions sur l'adresse en question, toute personne pourra savoir que vous avez acheté quelque chose, et avoir une idée du vendeur ! Je ne sais pas vous, mais pour ma part, quand j'achète quelque chose, ma première réaction n'est pas de le crier sur tous les toits...

Le Bitcoin Fog

C'est pour cela que l'on a inventé Bitcoin Fog. Pour faire simple, ce service vous propose de faire passer vos Bitcoins par ses valises, qui sont partagées avec d'autres personnes  Ainsi, si vous payez avec des Bitcoins passant par ce service, votre transaction est anonyme. En effet, même si on sait que les Bitcoins viennent de Bitcoin Fog, impossible de savoir qui les a envoyés car n'importe quel utilisateur du service pourrait être à l'origine de ces flux. Du coup, on ne peut plus remonter jusqu'à vous si vos Bitcoins passent par ce service. Bingo !

Pourquoi ce service n'est-il pas disponible sans passer par Tor ?

L'intérêt de ce service est, comme nous venons de le voir, d'anonymiser des Bitcoins. Supposons que le service soit accessible depuis le Web clair (c'est-à-dire sans passer par Tor). Il lui serait alors très facile de vous identifier avec votre adresse IP. Pensez-vous dès lors que vous pourriez avoir confiance en ce site ? Par ailleurs, si vous utilisiez directement ce site, en observant les métadonnées des paquets issus de votre connexion, il serait très facile de savoir que vous utilisez un tel service. Tout de même, ce n'est pas vraiment le rôle de notre fournisseur d'accès à Internet de savoir ça,  alors si il y a moyen de lui éviter de le savoir c'est toujours bon à prendre, vous ne pensez pas ? :zorro:

En utilisant le réseau Tor, il n'est pas possible de savoir que vous utilisez ce site, car vous ne faites que faire une requête vers un relais Tor parmi tant d'autres, qui transmettra après votre requête à un autre relais, et ainsi de suite jusqu'à arriver au relais Tor de Bitcoin Fog. Là, il est tout de suite beaucoup plus difficile de savoir que c'est vous qui êtes à l'origine de la requête vers Bitcoin Fog, en raison du nombre important d'utilisateurs du réseau Tor, qui ne permet pas de remonter facilement la piste d'une requête, comme nous l'avons vu il y a quelques chapitres.

De plus, le site ne peut plus directement vous pister, ce qui est largement plus rassurant pour un service qui se veut garant de votre vie privée sur Internet. En effet, en utilisant Tor, le seul moyen pour le site de vous identifier est votre nom d'utilisateur/mot de passe. Et, à priori, ces informations ne permettent pas remonter jusqu'à votre identité personnelle, contrairement à une adresse IP qui permet de remonter jusqu'à une position approximative dans le pire des cas. D'une certaine manière, le réseau Tor apporte une couche supplémentaire de protection de votre vie privée qui est ici indispensable si l'on veut utiliser le service au maximum de son potentiel.

Un réseau complètement libre, et donc risqué

Afin de pouvoir utiliser le Web profond au mieux, une mise au point s'impose sur la différence de gestion entre le Web profond (accessible uniquement par Tor) et le Web clair (accessible sans avoir besoin de passer par Tor, dit clear web en anglais).

Attribution des noms de domaine

Gestion des noms de domaine sur le Web clair

Lorsque l'on souhaite demander un nom de domaine "classique" (par exemple, un .fr), il est nécessaire de remplir un long formulaire avec toutes sortes d'informations personnelles, notamment nom, prénom et adresse postale. Vous vous êtes déjà demandé pourquoi ?

Si l'on est obligé de remplir tout un formulaire, c'est parce que, sur le Web clair, les autorités veulent pouvoir remonter jusqu'à l'auteur d'un site. Comme ça, si jamais il y a un problème avec votre site, on peut vous contacter pour régler le problème.

Ces informations sont publiées dans ce que l'on appelle le registre WHOIS, qui permet d'avoir de nombreuses informations sur celui qui a demandé chaque nom de domaine. Vous pouvez ainsi savoir que c'est l'entreprise OpenClassrooms qui a demandé le nom de domaine openclassrooms.com, et savoir où elle est située géographiquement. Si jamais vous voulez aller dire leur dire bonjour, c'est très facile de savoir où ils sont. ^^

Par ailleurs, afin de s'assurer que les informations ne sont pas complètement aberrantes, il y a une vérification humaine qui est faite pour chaque demande de nom de domaine. Dans le cas du nom de domaine .fr, c'est l'AFNIC qui s'en occupe. C'est entre autres pour cela que les noms de domaines ne sont pas gratuits sur Internet : il faut payer ces personnes qui vérifient les informations que vous renseignez lorsque vous demandez un nom de domaine.

Gestion des noms de domaine sur le web profond

Vous l'aurez compris,  quand vous demandez un nom de domaine accessible via le Web "classique" (on le nomme clear web), vous n'êtes pas vraiment anonyme. Or, quel est l'un des principaux objectifs du réseau Tor ? L'anonymat bien sûr ! Les domaines utilisant l'extension .onion ne sont pas en reste : il est possible d'obtenir un domaine en .onion gratuitement, et sans avoir besoin de fournir une quelconque information. En même temps, le réseau Tor est un service qui est fourni par des bénévoles, et ces bénévoles n'ont pas vraiment envie de modérer tous les sites qui ont ou veulent une adresse en .onion. Vous imaginez un peu le travail ?

Il a donc été fait le choix d'automatiser l'attribution de noms de domaine en .onion à quiconque en demande un. Et en plus, c'est super facile ! En quelques lignes dans votre fichier de configuration Tor, vous pouvez rendre votre site accessible via une adresse en .onion.

En un mot, on peut difficilement faire plus libre que les domaines en .onion, comme tout le monde peut en avoir un sans rien payer, et la censure est quasiment inexistante étant donné la manière dont le réseau est géré. 

Gestion des sites dangereux

Comme vous le savez, Internet est un réseau global, et parfois il se peut qu'il y ait des contenus dangereux pour votre ordinateur. Certaines pages peuvent, que ça soit volontaire ou non (site piraté), tenter d'installer des logiciels malveillants sur votre ordinateur, et ça peut vite tourner au drame. Heureusement, des entreprises ont mis en place des outils pour vous éviter de tomber sur des sites dangereux.

Un exemple de système sur le Web clair : Google Safe Browsing

L'un des outils les plus connus a été développé par Google, et il se nomme Google Safe Browsing. Son fonctionnement est assez simple, et est lié à l'activité de Google : l'indexation des contenus sur Internet. Pendant qu'il indexe une page web du Web clair, le robot Google en profite pour faire une analyse antivirus. Et si jamais il trouve quelque chose de méchant, par exemple une tentative d'utilisation d'une faille de sécurité, il le note.

Comme cela, si jamais vous tombez  un jour sur ce site dans les résultats de recherche (ce qui n'est pas facile, la découverte de code malicieux faisant faire une belle chute au site dans les résultats de Google), vous serez informé, afin que vous agissiez en connaissance de cause . Ce système, que l'on peut assimiler à une sorte de liste noire des noms de domaines dangereux, est aussi intégré directement dans certains navigateurs. C'est le cas de Firefox, qui peut parfois vous afficher un message qui ressemble à ça :

Un message d'avertissement, avant de visiter un méchant site!
Un message d'avertissement, avant de visiter un méchant site!

Ce message vous indique que le site en question a été référencé dans Google Safe Browsing comme site web malicieux, et vous demande donc si vous êtes vraiment sûr de vouloir le visiter.

Et sur le Web profond ?

Comme vous pouvez vous en douter, le Web profond n'est pas indexé par Google. Avez-vous déjà vu une adresse en .onion dans les résultats de Google ? Ça n'aurait pas vraiment de sens sur le Web clair de faire un lien vers une adresse qui n'est pas accessible ! Et, n'étant pas indexées, les pages du Web profond ne sont pas analysées par Google Safe Browsing. Le service Google Safe Browsing ne couvre donc pas le Web profond.

Et alors ? N'existe-t-il pas d'autres systèmes semblables à Google Safe Browsing pour le Web profond ?

Pas à ma connaissance. En même temps, cela aurait-il une réelle utilité ? Le Web profond est lui aussi composé d'un nombre conséquent de pages ; l'indexer et l'analyser prendrait donc énormément de temps et nécessiterait des moyens importants. Qui plus est, cela serait fait pour quelques millions d'utilisateurs, pas vraiment comparable à l'intérêt qu'apporte Google Safe Browsing aux milliards d'internautes...

Pour autant, est-il dangereux de surfer sur le Web profond ? Pas plus que ça, car les pages malicieuses ne sont pas si fréquentes. Je dirais donc qu'il suffit d'être un peu plus prudent que d'habitude, mais le risque reste tout de même limité. Contentez vous de suivre ces quelques conseils, et ça devrait bien se passer ! 

  • Soyez prudent. Faites attention aux liens sur lesquels vous cliquez. Si vous voyez en bas à droite qu'un lien vous envoie sur un site extérieur, alors qu'il n'est pas présenté comme tel, c'est qu'il y a des raisons de se méfier... Si vous avez des doutes, ne prenez pas de risques : ne cliquez pas!

  • Configurez votre navigateur pour qu'il ait une politique de sécurité assez restrictive. Cela passe par exemple par la désactivation des scripts partout par défaut (c'est un paramètre de NoScript, qui est inclus dans le Tor Browser : cliquez sur l'icône du S bleu sur fond blanc à côté de la barre d'adresse, puis cliquez sur "Interdire JavaScript Globalement (recommandé)").

Désactivation globale du Javascript avec NoScript
Désactivation globale du JavaScript avec NoScript

Le Tor Browser a aussi d'autres paramètres qui sont accessibles en cliquant sur l'oignon vert, puis sur "Paramètres de confidentialité et de sécurité".

Les modules complémentaires sont par ailleurs désactivés sur le Tor Browser, ce qui évite une prise de risque supplémentaire en raison d'éventuelles failles de sécurité. Cette désactivation des modules complémentaires permet aussi d'assurer un meilleur anonymat car il n'est plus possible de vous distinguer des autres utilisateurs en se basant sur vos modules complémentaires (ça fait toujours un facteur discriminant en moins).

C'est entre autres ces modifications qui poussent les administrateurs du service check.torproject.org à vous recommander d'utiliser Tor Browser.

Quelques bonnes adresses

Les domaines du Web profond sont constitués de 16 caractères générés aléatoirement, on est donc souvent un peu perdu quand on veut commencer à naviguer sur le Web profond.

Afin de partir du bon pied, je vous ai préparé une petite liste d'adresses en .onion. Cette liste est loin d'être exhaustive, mais je pense qu'elle constitue un bon point de départ.

The Hidden Wiki

C'est l'un des sites les plus connus du web profond. Je ne sais pas vraiment s'il est complet, mais il comprend un bon nombre de liens vers d'autres services du Web profond. Attention tout de même, certains sites ne sont pas vraiment recommandables. Je pense que vous êtes assez grands pour juger, mais réfléchissez bien avant de cliquer n'importe où. Comme partout, il y a tout et n'importe quoi sur le Web profond, alors soyez prudents!

À l'heure actuelle, l'adresse du site est http://zqktlwi4fecvo6ri.onion.

Si jamais vous l'oubliez (ou si l'adresse change), vous pouvez chercher "The Hidden Wiki" sur votre moteur de recherche préféré. Vous trouverez alors sûrement ce site, qui est composé de plusieurs liens vers des sites du Web profond, dont le "vrai" Hidden Wiki.

TORCH : Tor Search Engine

Il existe un moteur de recherche pour le Web profond, qui se nomme TORCH. Si vous cherchez quelque chose en particulier, ça vaut le coup d'essayer. 11

Le site est disponible à cette adresse : http://xmh57jrzrnw6insl.onion.

DuckDuckGo

DuckDuckGo est un moteur de recherche sur le Web clair mettant l'accent sur la vie privée, accessible à l'adresse http://www.duckduckgo.com.  Vous pouvez aussi l'utiliser depuis Tor ! Si vous voulez faire des recherches sur le Web clair qui soient vraiment anonymes, c'est la meilleure solution qui s'offre à vous. Le service est disponible à cette adresse : http://3g2upl4pq6kufc4m.onion.

Bitcoin Fog

Nous l'avons évoqué dans ce chapitre. Ce service permet de réellement anonymiser des transactions réalisées avec des Bitcoins. Le site est accessible à l'adresse : http://foggeddriztrcar2.onion.

Tor Box

Tor Box est un fournisseur de messagerie électronique restreint au Web profond. À l'aide de TorBox, vous pouvez envoyer des e-mails à un autre utilisateur du Web profond en passant par le Web profond ! Les e-mails envoyés via Tor Box ne peuvent toutefois pas être redirigés vers le Web clair. Cela peut s'expliquer par le fait que, si les e-mails étaient redirigés, il faudrait un domaine aux adresses TorBox, et comme on ne peut pas utiliser de .onion sur le Web clair, ça serait un peu compliqué !

Cependant, comme tout fournisseur d'adresse e-mail qui se respecte, vous pouvez accéder à vos e-mails à l'aide d'un client de messagerie classique (à condition de l'avoir paramétré pour qu'il utilise Tor!). C'est pour cela que l'on peut comparer Tor Box à un Gmail/Hotmail/etc. du Web profond !

Le service est disponible à cette adresse : http://torbox3uiot6wchz.onion.

Facebook

Facebook a aussi mis en place une interface pour être accessible en passant uniquement par Tor, disponible à l'adresse https://facebookcorewwwi.onion.

La mise en place de ce service a fait l'objet d'une certaine controverse, qui a nécessité une réponse de la part de l'équipe du projet Tor. Si vous êtes familier avec l'anglais, je vous encourage à le lire, c'est très instructif ! Sinon, voici un petit résumé des points clés de la polémique, et des réponses de l'équipe du projet Tor.

N'y a-t-il pas un problème à utiliser Facebook, qui sait tout sur nous, mais en passant par Tor pour être anonyme ?

On peut en effet voir un paradoxe à se cacher d'une entreprise qui sait déjà tout sur nous, et dont la politique sur la vie privée a déjà fait couler beaucoup d'encre (ou noirci de nombreux pixels, comme vous voulez :D ). Le réseau Tor ne permet pas d'utiliser Facebook de manière anonyme, mais permet de l'utiliser sans que d'autres intermédiaires (comme votre fournisseur d'accès Internet) ne soient au courant (après tout, pourquoi devraient-ils l'être ?). Il permet aussi de cacher sa position actuelle à Facebook, et bien entendu d'accéder à Facebook en contournant la censure de manière plus efficace (étant donné que l'on évite d'utiliser un relais de sortie, point souvent sensible du réseau Tor). D'une certaine manière, utiliser Facebook via Tor permet de s'assurer que l'on ne partage que les informations que l'on veut, et avec Facebook uniquement.

Pourquoi la connexion est-elle sécurisée avec HTTPS en plus ? Et comment ont-ils fait pour avoir un certificat SSL pour un domaine en .onion ?

Vous avez bien raison de signaler que le chiffrage de la connexion jusqu'à Facebook est déjà assurée par le réseau Tor. Mais il ne faut pas oublier que Facebook n'est pas hébergé sur un seul serveur : avant d'être traitée, votre requête se promène un peu dans le réseau du centre de données (ou datacenter) de Facebook, avant d'être traitée par un serveur. La connexion par HTTPS permet de s'assurer que si quelqu'un intercepte votre requête dans le réseau interne de Facebook, il ne pourra pas la déchiffrer. C'est peut-être un peu paranoïaque de s'inquiéter d'une interception de requête chez Facebook, mais on est jamais trop prudent !

Pour ce qui est de l'obtention du certificat SSL, vous vous doutez bien que Facebook n'a pas du avoir trop de soucis à s'arranger avec Digicert pour l'obtenir, et qu'ils n'ont pas grand-chose à cacher pour leur part, donc la vérification d'identité a été possible sans trop d'encombres.

Mais, et j'insiste sur ce point, le certificat SSL n'est absolument pas nécessaire pour sécuriser les connexions passant par Tor !

Et pour ce qui est de l'adresse, n'ont-ils pas soudoyé les membres de l'équipe du projet Tor ?

Non, et quand bien même ils l'auraient fait, cela n'aurait rien changé car les adresses sont générées au terme d'un processus cryptographique long. Ils ont juste généré plusieurs clés, gardé celles dont l'adresse commençait par facebook, et ont eu de la chance d'avoir quelque chose d'assez simple à retenir, comme ils l'ont dit ici.

Et, pour conclure, ça fait toujours plaisir de voir que des grands noms d'Internet s'intéressent à Tor, ça montre que ce n'est pas que pour les barbus ! 

Exemple de certificat de réussite
Exemple de certificat de réussite