AlphaBay et Hansa : Les erreurs à ne plus reproduire

Bonjour.

Si vous avez suivi l'actualité de ces dernières semaines, vous ne pouvez pas ne pas avoir entendu parler de la fermeture d'AlphaBay et de Hansa. Ces deux services cachés ont été saisis par les autorités après quasiment un an d'enquête de la part d'Europol si je me souviens bien. Globalement, il s'est passé que le serveur d'Hansa a été saisi par les autorités, lesquelles ont continué à le faire tourner en modifiant son code source afin de récupérer les identifiants et les mots de passe en clair lors de chaque inscription/connexion, ainsi que tous les messages et toutes les commandes.

J'ai mené ma petite enquête sur ce qui s'est passé. C'est clairement à cause de négligences de la part de tout le monde (y compris des acheteurs) que les informations de millier d'acheteurs sont tombés au mains de la police. J'ai donc fait le tour des principales erreurs humaines qui ont conduit à cette véritable boucherie, dans l'espoir que qu'un tel massacre ne se renouvelle pas et que les acheteurs intègrent une bonne fois pour toute que Tor ne les protègera pas d'eux même, que la sécurité est un processus et pas un produit, et que l'informatique, ce n'est effectivement pas toujours simple mais qu'il faut s'y mettre quand on commande sur le deep web (mais pas que), sinon, vous êtes juste mort !


Apprenez à utiliser GPG et chiffrez vos messages.

C'est probablement le point le plus critique de cette histoire. Voici une citation extraite de cet article :

Though customers on dark web sites are advised to encrypt their addresses so that only the seller of the purchased contraband can read it, many don't, creating a short trail of breadcrumbs to their homes for law enforcement when they seize the sites' servers.

La saisie des informations des acheteurs n'a été rendue possible que parce que la majorité ont eu l'inconscience d'envoyer leurs adresses en clair sur le serveur de Hansa, qui, comme vous le savez, récupérait toutes les informations pour le compte des flics. Cet évènement est la preuve qu'il est critique de savoir chiffrer quand on va sur le deep web. Il est également important de prendre en compte la robustesse de la clé publique du vendeur auquel vous prévoyez d'acheter. En effet, j'ai montré sur le tutoriel sur GPG que beaucoup de vendeurs ne savaient pas utiliser GPG correctement et j'ai également montré un moyen de tester la robustesse d'une clé publique.


Utilisez des Identifiants/Mot de Passe/Clé Publique UNIQUES

La plupart de utilisateurs d'internet ont la fâcheuse manie de tout le temps utiliser le même mot de passe partout. Le problème quand on utilise tout le temps le même mot de passe, c'est que dès qu'il est compromis, c'est l'ensemble des sites que l'utilisateur utilise qui sont compromis. Si je suis flic et que je récupère un couple d'identifiant et de mot de passe, il me suffit de l'essayer sur d'autres markets du deep web pour savoir sur quels markets est cet utilisateur et récupérer encore plus d'informations.

Il est donc important d'utiliser des triplets Identifiant/Mot de passe/clé publique qui soient uniques et forts. Pour la clé publique, GPG s'en charge pour vous. Pour le couple Identifiant/Mot de Passe, je vous recommande plus que très fortement de vous tourner vers un gestionnaire de mot de passe. Personnellement, j'utilise KeePassX. L'idée, c'est que ça va vous créer une base de donnée chiffrée que vous pourrez déverrouiller par un mot de passe maître (Que là par contre, il vous faudra retenir). KeyPassX retient vos identifiants et vos mots de passe pour vous. Vous n'avez même pas à vous en soucier, vous n'avez même plus besoin de les connaître. Il vous suffit ensuite de copier/coller vos ID et vos mots de passe. KeyPassX a même une fonctionnalité de génération de mots de passe aléatoire.


Désactivez le Javascript quand vous allez sur le deep web

Pour plus de détail, je vous invite à consulter le psychowiki sur Tor, Chapitre "Vulnérabilités", rubrique "Javascript".


Tournez vous vers des petits market

AlphaBay était le plus gros market du Deep web, DM est le deuxième et Hansa était le troisième. C'est la raison pour lesquelles les autorités les ont pris pour cibles, et il est évident que DM est le suivant sur la liste. Et qui sait ? Si ça se trouve, DM est déjà tombé aux mains des flics.

Un gros banc de poisson attire plus les prédateurs qu'un petit banc, et plus qu'un poisson isolé. Moralité : Décentralisez ! Utilisez des petits market. Plus vous serez dispersé, plus vous serez en sécurité.