Dark Web, partie 2 : Comment fonctionnent les sites .onion

3 oct. 2023, 00:57
11 minutes

Dark Web, partie 2 : Comment fonctionnent les sites .onion

Lorsque les gens parlent du dark web, ils évoquent souvent les sites onion et Tor. Mais Tor est seulement une partie du Darknet. Il existe d'autres réseaux sur le web caché.

Pour rendre cet article plus clair, nous vous recommandons d'abord de lire « Qu'est-ce que Tor et comment ça marche », dans lequel nous avons expliqué en détail le fonctionnement de ce dernier.

Dans les articles précédents :

Dark Web, partie 1 : qu'est-ce que le Darknet et pourquoi l'utilise-t-on ?
Dark Web, partie 2 : comment fonctionnent les sites .onion ← vous êtes ici
Dark Web, partie 3 : qu'est-ce que Freenet ?
Dark Web, partie 4 : qu'est-ce que l'I2P et comment ça marche ?
Dark Web, partie 5 : comment accéder au Darknet via Tor, I2P et Freenet

Que sont les services .onion ?

Les services onion sont des services auxquels on ne peut accéder que par Tor. L'utilisation du service Onion donne à vos utilisateurs toute la sécurité du HTTPS avec les avantages supplémentaires de la confidentialité du navigateur Tor.

Le Darknet se distingue de l'internet normal par le fait que les sites de ce dernier sont nommés à l'aide d'un ensemble de chiffres et de lettres et se terminent par un domaine de premier niveau .onion, et non .com ou quelque chose de similaire.

Le domaine de premier niveau est le point de départ du nom du site. Cela dit, les domaines .onion ne peuvent pas être ouverts ailleurs que sur Tor car ils sont uniquement stockés sur son réseau. Les domaines Internet ordinaires sont stockés sur des serveurs DNS.

La différence entre les requêtes DNS et Onion

Par exemple, un site peut s'appeler : https://duckduckgfgjdkgjtkjgjkjefi59u49u34fji3fjzad.onion. Par conséquent, pour accéder à un site sur le dark web, vous devez connaître son adresse.

Comment les sites et services onion diffèrent de leurs homologues sur l'Internet habituel

Le réseau onion renforce la confidentialité et la sécurité des utilisateurs de plusieurs façons :

cache leur emplacement ;
utilise l'authentification de bout en bout ;
utilise le cryptage de bout en bout.

Cache l'emplacement

Tor est un réseau superposé. Il s'agit essentiellement d'un Internet qui fonctionne au-dessus de l'Internet normal. Et le web ordinaire utilise les protocoles TCP/IP qui permettent de connaître la localisation des utilisateurs. Comme Tor fonctionne au-dessus de l'internet habituel, il fonctionne au-dessus de TCP / IP et ne les utilise pas dans ses protocoles.

Utilise l'authentification de bout en bout

Sur le réseau Tor, chaque utilisateur sait qu'il obtient des informations spécifiques à partir d'un nœud spécifique. Ce faisant, un nœud extérieur ne peut pas interférer avec la transmission de la demande et devenir le prétendu expéditeur de l'information. Prenons l'exemple d'un magasin de vêtements de marque.

Supposons qu'une personne décide d'acheter des vêtements dans le magasin PARA. Il arrive au magasin et voit qu'il y a deux magasins PARA à côté. Seul l'un d'entre eux vend des vêtements originaux et l'autre des imitations. Et le propriétaire de la deuxième boutique est lui-même un fraudeur et trompe les individus. Il est très facile de se tromper et d'acheter une contrefaçon, car les deux boutiques sont totalement identiques et personne ne sait où sont vendus les articles originaux.

Dans le cas des sites onion, les utilisateurs ne peuvent pas être trompés : les informations sur le réseau sont liées à un hôte spécifique et personne d'autre ne peut se faire passer pour un hôte avec les mêmes informations.

Ce type d'escroquerie existe sur l'Internet conventionnel et est désigné sous le nom d'attaque DNS. L'attaque fonctionne comme suit : un pirate change l'adresse IP réelle du site en une fausse dans le système DNS. Lorsqu'une personne souhaite se rendre sur le site, un faux site lui sera transmis et elle ne remarquera même pas la différence, car l'adresse du faux service ne sera pas différente de l'original.

Par exemple, si l'enregistrement DNS du site mysite.com est remplacé par un faux, tous les liens sur Internet mèneront au faux site pour cet utilisateur. Et pour s'assurer que la personne ne remarque pas la différence, le pirate copiera le design du site original afin que le faux site ne se trahisse en aucune façon.

Le faux site lui-même peut contenir des virus ou un logiciel de phishing, que l'arnaqueur utilisera pour voler les informations de l'utilisateur. Mais il existe plusieurs méthodes de protection contre les attaques DNS, il est donc difficile d'usurper l'enregistrement DNS d'un site.

Utilise le cryptage de bout en bout

Le chiffrement de bout en bout protège le trafic qui va de l'expéditeur au destinataire dans le réseau Tor et personne ne sait quelles informations sont envoyées sur le canal chiffré, y compris les hôtes intermédiaires.

Cette méthode de sécurité existe aussi sur l'internet normal. Le trafic est protégé par un cryptage SSL/HTTPS. Mais la différence avec Tor est que tous les sites sur l'internet habituel ne sont pas protégés par ce protocole.

Comment fonctionne l'interaction entre l'utilisateur et le site onion ?

Les services onion sont des services réseau basés sur le protocole TCP qui ne sont accessibles que sur le réseau Tor et garantissent un anonymat mutuel : le client Tor est anonyme vis-à-vis du serveur, et le serveur est anonyme vis-à-vis du client.

Les clients accèdent aux sites via des domaines onion qui ne fonctionnent qu'au sein du réseau Tor.

Il y a six nœuds Tor entre le client et le site. Et le chemin est construit de deux côtés : du client au nœud, et du réseau Tor au même nœud. Aucun des deux côtés ne connaît l'adresse IP de l'autre.

Il y a plusieurs nœuds sur le réseau Tor. Guard est le nœud de garde. C'est le premier nœud d'une chaîne de trois autres qui constituent la chaîne Tor. Il forme et termine la chaîne Tor et s'assure que les informations de la chaîne ne sont pas compromises. Middle, le nœud intermédiaire, n'est ni un gardien ni une sortie, mais agit comme un intermédiaire entre les deux.

L'interaction avec un site du réseau Tor se fait étape par étape. Parlons de chaque étape.

Première étape

Dans la première étape, la ressource onion calcule les clés privées et publiques → sélectionne des nœuds aléatoires comme points d'entrée → communique sa clé publique à ces points. Le point d'entrée est uniquement nécessaire pour établir une connexion, il ne participe pas au transfert d'informations.

La clé publique est envoyée par le destinataire des données ou du message. Il peut être publié partout ; si quelqu'un le reconnaît, rien ne se passera. Après tout, la clé publique n'est utilisée que pour chiffrer le message par l'expéditeur, et rien ne peut être déchiffré avec.La clé privée n'est partagée avec personne et son but est de décrypter le message reçu. En même temps, il n'y a qu'une seule clé publique pour une clé privée et les clés fonctionnent toujours en tandem. Ce sont les particularités de l'algorithme de cryptage.

Personne ne connaît la clé privée du site, tandis que la clé publique est utilisée pour former le nom de domaine du site. En outre, tous les nœuds avec lesquels le site communique ne connaissent pas l'emplacement de la ressource.

Et la ressource onion elle-même se cache dans le réseau Tor et se protège des visites indésirables en n'autorisant l'accès que par les trois points d'entrée par lesquels la demande est faite.

Deuxième étape

La deuxième étape utilise des clés privées. Afin que les utilisateurs puissent trouver des sites et que le réseau Tor puisse les afficher, les ressources sont rassemblées dans une table de hachage distribuée, essentiellement un répertoire. Seul ce répertoire est stocké en plusieurs parties sur différents nœuds du réseau.

Et pour qu'une page web entre dans ce répertoire, le réseau recueille son descripteur : une description technique du site.

Le descripteur contient une liste des points d'entrée et des clés d'authentification de la première étape, qui sont nécessaires pour accéder au site.

Ces informations sont ensuite signées avec la clé privée, qui est la partie privée de la clé publique. Celle-ci est codée dans l'adresse de la ressource onion.

Troisième étape

Les deux premières étapes se déroulent indépendamment du client et une personne ne peut pas les observer. Nous en avons parlé pour faire comprendre comment les sites apparaissent sur le réseau Tor.

Passons maintenant au moment où le client réel veut visiter la ressource.

Imaginons qu'un utilisateur souhaite visiter une ressource onion SecureDrop. Pour ce faire, le navigateur consulte la table de hachage distribuée de l'étape 2 et demande le descripteur signé de la ressource onion SecureDrop.

Mais en fait, l'utilisateur accède à la table de hachage indirectement, par le biais d'une ressource tierce. Par exemple, il prendra un lien vers SecureDrop sur l'Internet public ou un autre site onion.

Lorsque l'utilisateur se rendra à l'adresse du site, il se connectera à la table distribuée et demandera un hachage de la ressource. Le hachage ressemble à $hash.onion, un nom à 16 caractères dérivé de la clé publique du service.

Et si un tel hachage existe, le réseau Tor va automatiquement vérifier la clé publique qui est encodée dans l'adresse onion. De cette façon, le réseau saura que le descripteur dans la table est associé à une ressource spécifique et non à une autre. Cela fournit la propriété de sécurité de l'authentification de bout en bout.

En outre, il existe des points d'entrée dans le descripteur, par lesquels on rejoint la plateforme SecureDrop. Essentiellement, grâce à ces points, le navigateur sait où faire la demande de connexion au site.

Quatrième étape

Avant de faire une demande au réseau Tor, l'utilisateur sélectionne un nœud aléatoire et s'y connecte. En substance, le client demande au nœud de devenir son point de rencontre et lui donne l'adresse du point de rencontre et un "secret à usage unique" qui sera utilisé pour la procédure de connexion au site. Le message est ensuite crypté à l'aide de la clé publique du service caché.

Cinquième étape

Le point d'entrée transmet les données de l'utilisateur (chaîne secrète et adresse de réunion) à la ressource, qui exécute plusieurs processus de validation et décide si vous êtes digne de confiance ou non.

Sixième étape

Via un canal anonyme, la ressource se connecte au point de rencontre, un service secret spécial décrypte le message d'entrée en utilisant sa clé privée et apprend ainsi le point de rencontre et le secret à usage unique.

Le point de rencontre effectue une dernière vérification pour faire correspondre les chaînes secrètes du client et de la ressource, puis établit une connexion entre le client et le site.

Par conséquent, le client et le service caché communiquent entre eux par le biais de ce point de rencontre. Tout le trafic est protégé par un cryptage de bout en bout, et le point de rencontre le rediffuse dans les deux sens.

Au total, 6 nœuds sont utilisés pour la communication de bout en bout. Trois d'entre elles sont sélectionnées par un service dédié et trois sont sélectionnées par le client, y compris le point de rencontre.

Le schéma général du fonctionnement des sites sans tenir compte de la présence de nœuds ; ils rendent le schéma très difficile à comprendre.

Résumons brièvement ce qui se passe dans le schéma :

Le serveur caché envoie sa clé publique au point d'entrée. Il s'agit de rendre anonyme le créateur du site. Cela établit la connexion par le point d'entrée et transmet les données par un point complètement différent.
Le serveur caché envoie le descripteur à la table de hachage distribuée. Le descripteur contient la clé publique, des informations sur le point d'entrée et le signe avec la clé privée du service.
Le client demande le nom du site xyz.onion, où xyz est un nom de 16 caractères basé sur la clé publique.
Après la demande, les informations du client vont dans deux directions : vers le point d'entrée et vers le point de rencontre. Le point de rendez-vous est choisi au hasard et est nécessaire pour que les informations de la ressource onion arrivent par la suite. Dans ce cas, chaque utilisateur a un itinéraire différent vers le point de rencontre, il n'y a donc pas de moyen unique de transmettre des informations sur le réseau Tor.
Des informations sur le point de rencontre et un message d'introduction sont envoyés au point d'entrée, qui est crypté avec la clé publique du service.
Les informations provenant du point d'entrée sont envoyées au serveur caché. C'est ainsi que ce dernier apprend l'existence du point de rencontre.
Le serveur caché envoie l'information au point de rendez-vous.
Le point de rendez-vous vérifie une dernière fois que les chaînes secrètes de l'utilisateur et de la ressource correspondent.
Le point de rencontre envoie les informations sur les ressources au client.
Une connexion est établie entre l'utilisateur et le serveur caché et ils peuvent désormais échanger des informations.

Pourquoi vous ne pouvez pas vous connecter à des sites .onion via le proxy Tor2Web et autres

Le proxy Tor2Web et d'autres comme lui vous permettront de vous connecter aux sites .onion via des navigateurs ordinaires. Cela ressemble à ceci : le proxy se connecte d'abord à Tor et redirige ensuite le trafic vers vous à travers l'internet normal.

L'utilisation de cette option n'est pas sûre. Vous perdez votre anonymat, car le fournisseur d'accès à Internet, les pirates et le gouvernement seront en mesure de retracer le site auquel vous vous êtes connecté, les appareils que vous avez utilisés pour le faire, etc.

Ils sauront que vous utilisez un proxy Tor2Web et garderont une trace des informations sensibles que vous obtenez sur le net. Après tout, une fois que vous quittez Tor, le chiffrement et l'authentification de bout en bout sont perdus, ce qui rend plus facile l'accès à votre trafic.

Редактор Meta-тегов

Page head

Dark Web, partie 2 : Comment fonctionnent les sites .onion