Dark web – Les chiffres de 2022

Il y a un an, nous avons dressé notre premier état quantitatif du réseau Tor. En ce début d’année, nous reprenons notre étude afin de mettre en évidence les évolutions de ce réseau au cours de 2021. Le périmètre des sites onion a en effet connu des changements radicaux, principalement en raison de l’arrêt du support technique des adresses V2.

Ainsi, cette article abordera de manière général le dark web en 4 parties :

 

      1. La transition des adresses V2 à V3
      2. Les chiffres du réseau Tor en janvier 2022
      3. La durée de vie des sites
      4. Le réseau Tor et les communautés linguistiques

1. La transition des adresses V2 à V3

Depuis le mois de janvier 2018, une nouvelle version de Tor permet de créer des domaines dont le format de nom renforce la sécurité. Ce nouveau format de nom de domaine, communément appelé adresses V3, est aisément repérable puisque, à la différence des anciennes adresses V2 en 16 caractères, les adresses V3 contiennent 56 caractères, toujours avec l’extension onion.

Au mois de juillet 2020, la décision de mettre un terme au support technique des adresses V2 a été annoncée. La mise en application effective de l’arrêt du support était alors prévue pour le 15 octobre 2021.

Annonce de la fin du support des adresses V2

Annonce de la fin du support des adresses V2

Dans l’intervalle, des rappels de cette échéance ont été mis en place. Ainsi, une personne qui se rendait sur un site en V2 via Tor Browser était systématiquement informée de l’arrêt prochain du support par un message d’avertissement.

Message d’avertissement de l’arrêt prochain du support des adresses V2

Message d’avertissement de l’arrêt prochain du support des adresses V2

En pratique, les domaines V2 ont été consultables jusqu’au déploiement de la version 11.0 de Tor Browser au début du mois de novembre 2021. A cette date, nous recensions un total de 110 000 domaines Tor actifs, dont 60 000 adresses V2. C’est donc plus de la moitié des sites onion qui est devenue inaccessible pour les utilisateurs courants de ce réseau.

Comme nous pouvons le voir sur le graphique suivant, la création de sites V3 a été très marginale jusqu’à l’annonce de l’arrêt du support des adresses V2.

Détection des sites V3 de 2019 à 2022

Détection des sites V3 de 2019 à 2022

Depuis l’annonce, les nouveaux domaines ont été majoritairement créés avec des adresses V3. Nous avons tout de même pu constater avec un certain étonnement que certains persistaient à créer des domaines sous l’ancien format jusqu’au mois de novembre 2021. Plus étonnant encore, parmi ces retardataires se trouvait le site d’une équipe d’opérateurs de ransomware. On peut penser qu’il s’agissait d’une équipe sans doute plus en pointe sur les méthodes d’extorsion que sur l’actualité du réseau Tor.

La transition V2 à V3 a donc rebattu les cartes en profondeur au niveau de l’existant, puisque de nombreux sites n’ont pas (encore) opéré leur migration vers la nouvelle version et peuvent donc être considérés comme perdus. Cette transition n’a toutefois pas modifié certaines pratiques et certaines tendances.

2. Les chiffres du réseau Tor en janvier 2022

La masse totale de domaines Tor actifs en janvier 2022 est de 53 000, contre 76 000 il y a un an. Cette masse totale a atteint plus de 115 000 sites actifs, V2 et V3 confondus, quand les deux formats d’adresse étaient encore valides. On peut y voir là, la redondance des sites V3 nouvellement créés et du maintien en ligne des anciennes adresses V2.

La transition V2 à V3 n’a pas mis un terme à la pratique du mirroring de masse, loin de là. Si les miroirs V2 sont devenus inaccessibles, la création de miroirs continue de plus belle avec la V3. Nous pouvons par exemple constater sur le graphique précédent un pic de détection de nouveaux sites durant la deuxième semaine du mois de mai 2021. Les 3 400 domaines détectés durant cette semaine sont pour la plupart des miroirs, puisqu’il s’agit en réalité de 150 nouveaux domaines dont une vingtaine sont répliqués à plus d’une centaine d‘exemplaires chacun.

L’an dernier, nous constations que les sites les plus dupliqués étaient majoritairement des sites dédiés aux opérations financières (carding, manipulation de bitcoin…). Cette année, nous observons une tendance identique mais trois sites aux titres plus évocateurs s’invitent dans le classement.

Les dix sites les plus répliqués :

Nom du site Miroirs
QF Market – Fast Transfers 1560
GC King _-_ GiftCard Shop 1538
All BTC .:. Everything you needed 1523
Porn Hacker 1193
Red Room 1169
Rape and murder! 1126
LordPay – Easy Transfers 1063
Bankor – Cloned Credit Cards 907
SHOP CARD | CLONED CARDS | WESTERN UNION | PAYPAL 888
Paypal Account 857

 

Captures d’écran des pages d’accueil des dix sites les plus répliqués

Captures d’écran des pages d’accueil des dix sites les plus répliqués

Si nous faisons abstraction des miroirs, la masse totale des sites Tor actifs en janvier 2022 n’est plus que de 6 300 sites. Nous voyons donc une diminution très nette du nombre de sites uniques, puisque nous dénombrions plus de 18 000 sites en janvier 2021.

Il est cependant tout à fait probable que nous retrouvions assez rapidement des volumes comparables à l’an dernier.

3. Durée de vie des sites

La transition V2 à V3 n’a pas eu d’impact considérable sur la longévité moyenne des sites. En effet, les sites les plus anciens (V2) ne font plus partie des domaines actifs, mais comme le volume de domaines anciens était déjà très restreint l’an passé, la variation a été négligeable et nous retrouvons une longévité moyenne égale à celle de janvier 2021, c’est-à-dire neuf mois.

Répartition des domaines Tor actifs par longévité

Répartition des domaines Tor actifs par longévité

4. Le réseau Tor et les communautés linguistiques

A la différence de la longévité moyenne, la répartition des communautés linguistiques a été modifiée de manière significative. Ainsi, si l’anglais reste la langue hégémonique sur le réseau Tor (82% des domaines sont anglophones), les autres communautés ne se présentent plus dans le même ordre. Les sites francophones sont cette année les plus représentés, suivis des sites russophones, des germanophones et des hispanophones.

Répartition des communautés linguistiques sur le réseau Tor, hors sites anglophones

Répartition des communautés linguistiques sur le réseau Tor, hors sites anglophones

Les sites non anglophones ne représentent qu’une masse infime du volume total des domaines Tor actifs. Il reste par ailleurs un nombre important de domaines dont la langue ne peut être déterminée, en raison de leur contenu (données brutes issues de fuites, sites de dépôt de code…).

Aleph recrute