Les miroirs dans le Dark Web 1/2

Lors d’une précédente publication, nous avons constaté qu’environ 70% des domaines actifs recensés sur le Dark web sont en fait des copies (miroirs) d’une soixantaine de sites. Nous allons revenir sur cette notion de sites-miroirs et tenter de trouver une explication à ce phénomène de mirroring de masse.

 

Qu’est-ce qu’un miroir ? Pourquoi créer des sites-miroirs ?

Un miroir est une copie d’un site à une adresse différente. Cela peut consister, pour un site du Clear Web, à créer une copie dans le Dark Web. Le site du quotidien berlinois Die Tageszeitung (taz.de) dispose, par exemple, d’un miroir sur Tor (ibpj4qv7mufde33w.onion). De nombreux sites du Dark Web disposent également d’un ou plusieurs miroirs sur ce même réseau.

Pour un site web, disposer d’un ou plusieurs miroirs présente plusieurs intérêts. D’une part, cela procure une copie de sauvegarde qui peut s’avérer vitale en cas d’avarie technique du site principal. C’est aussi une mesure utile pour se prémunir contre les attaques de type DDoS. De ce point de vue, les miroirs servent à garantir une continuité de service en cas d’indisponibilité du site original. D’autre part, un miroir peut servir à répartir la charge si de trop nombreuses visites ralentissent le site principal.

Capture d'écran du miroir Tor Die Tageszeitung

Comment repérer les sites-miroirs ?

Dans la pratique usuelle chaque site-miroir contient un lien vers les autres miroirs. Le site de vente de cannabis HydroBull (aujourd’hui disparu) était doté de trois miroirs. Il affichait ainsi sur chacune de ses trois pages d’accueil les trois adresses onion de ses miroirs (entourées en rouge sur la capture d’écran suivante).

 

 

 

Graphe des miroirs HydroBull

Avec le moteur de recherche Aleph Search Dark, nous pouvons afficher les domaines sous forme de graphe. Chaque domaine est représenté par un point. Si un site A contient un lien vers un site B, les points qui représentent ces sites sont alors reliés. Lorsque nous affichons les trois miroirs d’HydroBull sur un graphe, nous constatons que les trois sites sont bien reliés les uns aux autres.

Quelle est la finalité des miroirs ?

Tous les miroirs présents sur le Dark web ne sont pas toujours dans le cas précité. Il est en effet fréquent que des miroirs ne soient pas liés au site d’origine via un hyperlien. La question se pose alors de savoir quelle est la finalité de ces miroirs « isolés ». Certes, ces miroirs présentent toujours l’intérêt de la copie de sauvegarde, mais s’ils ne sont pas référencés par le site original, comment les utilisateurs peuvent-ils savoir sur quelle adresse de secours se rabattre en cas d’indisponibilité du site principal ?

Comme nous l’avons vu dans une publication précédente, une soixantaine de sites du Dark Web disposent chacun de plus de 100 miroirs. Certains sont même dupliqués à quelques milliers d’exemplaires. Lorsque nous visualisons ces sites et leurs miroirs sur un graphe, nous voyons que l’immense majorité des miroirs ne sont pas interconnectés. L’exemple suivant est celui du site Xonions, répliqué à 1 070 reprises.

Nous observons que 27 miroirs sont connectés – et non interconnectés, puisque ce sont 26 miroirs qui référencent un site central. Cet ensemble de 27 sites ne comporte aucun site créé pendant la vague massive de création de miroirs de 2020. Rappelons que cette vague a eu lieu de mars à juillet, avec une décrue jusqu’à début septembre. Seuls quatre miroirs de ce réseau ont été créés après septembre 2020. Tous les autres ont été créés entre l’année 2015 et le mois d’octobre 2019.

Graphe du site Xonions, répliqué à 1070 reprises

Graphe du site Xonions, répliqué à 1070 reprises

Zoom sur l’évolution des sites-miroirs

La majeure partie des autres miroirs a été créée pendant la vague (plus de 800) et après. Le graphique ci-dessous montre la détection des miroirs de Xonions sur la période de janvier 2020 à juin 2021 (la période mars à septembre 2020 est surlignée).

Evolution nombre miroirs Xonions
Evolutions des sites miroirs de Buy Real Money et Amazon Gift Cards

Le même schéma se répète pour de nombreux sites « multi-clonés ». Les miroirs sont presque tous isolés et les dates de création coïncident, comme nous pouvons le voir dans le cas de Buy Real Money (1 613 miroirs) et Amazon Gift Cards (2 126 miroirs).

Il est tout à fait probable que ce mirroring de masse en 2020 soit le fait d’une même personne ou d’une même communauté. En effet, la très forte similitude des schémas relationnels et de l’étalement dans le temps de la création des miroirs le laissent penser.

Nous pouvons formuler une première hypothèse pour expliquer à la fois cette prolifération de miroirs et le fait que ces miroirs ne soient pas interconnectés. Il est en effet possible que le créateur de ces sites ait eu la volonté de saturer le Dark Web et d’acquérir ainsi une plus grande visibilité. Il n’aura toutefois pas fait l’effort de recenser sur chacun des miroirs l’ensemble des adresses des autres miroirs. Cette explication nous semble cependant peu plausible.

A suivre prochainement, la deuxième partie de cet article sur les miroirs :

    • Les hypothèses possibles
    • Comment différencier le vrai du faux ?